GitHub ogłosił wprowadzenie dla badaczy bezpieczeństwa bezpośredniego kanału do zgłaszania luk w zabezpieczeniach publicznych repozytoriów. Oczywiście tych, które na to pozwalają.
Ta platforma hostingowa przeznaczona do prowadzenia projektów programistycznych działa od kwietnia 2008 roku. GitHub udostępnia darmowy hosting programów open source i prywatnych repozytoriów (część funkcji w ramach prywatnych repozytoriów jest płatna). W czerwcu 2018 serwis został przejęty przez Microsoft za kwotę 7,5 miliarda dolarów. W maju 2019 roku GitHub informował, że ma około 37 milionów użytkownikówi ponad 100 milionów repozytoriów (w tym co najmniej 28 milionów repozytoriów publicznych).
Nowa funkcja zgłaszania luk w zabezpieczeniach umożliwia badaczom bezpieczeństwa informowanie opiekunów repozytoriów o wszelkich lukach zidentyfikowanych w ich kodzie. Niektóre repozytoria mogą zawierać szczegółowe instrukcje, w jaki sposób można skontaktować się z opiekunami, aby zgłosić wykryte podatności. W przypadku tych, które nie mają takiej funkcji, badacze często zgłaszają problemy publicznie. Niezależnie od tego, czy badacz zgłosi lukę w zabezpieczeniach za pośrednictwem mediów społecznościowych czy publikując problem, metoda ta może spowodować, że szczegóły dotyczące luki nie zostaną upublicznione w bezpieczny, odpowiedni sposób.
Aby uniknąć takich sytuacji, GitHub wprowadził prywatne raportowanie, za pomocą którego badacze mogą bezpośrednio kontaktować się z opiekunami repozytoriów, którzy chcą zarejestrować się w programie. Jeśli funkcja ta jest włączona, badacz otrzymuje do wypełnienia prosty formularz, gdzie podaje szczegółowe informacje na temat zidentyfikowanego problemu.
„Każdy, kto ma uprawnienia administratora do publicznego repozytorium, może włączać i wyłączać prywatne zgłaszanie luk w zabezpieczeniach” — mówi GitHub.
Gdy luka zostanie zgłoszona, opiekun repozytorium otrzymuje powiadomienie i może zaakceptować lub odrzucić zgłoszenie albo zadać więcej pytań dotyczących problemu.
GitHub twierdzi, że korzyści płynące z nowej funkcji obejmują możliwość prywatnego omawiania szczegółów luk w zabezpieczeniach, otrzymywanie raportów bezpośrednio na tej samej platformie, na której problem jest omawiany i rozwiązywany, raport doradczy inicjowany jest przez zgłaszającego, ale największy plus to brak ryzyka związanego z publicznym kontaktem.
Jak raportować luki w zabezpieczeniach
Raportowanie prywatnych luk w zabezpieczeniach można włączyć w „Ustawieniach” na stronie głównej repozytorium, w dziale „Bezpieczeństwo” na pasku bocznym, w sekcji „Bezpieczeństwo i analiza kodu”. Po włączeniu tej funkcji badacze bezpieczeństwa mogą przesyłać raporty, klikając nowy przycisk „Zgłoś lukę” na stronie „Porady” repozytorium.
Platforma hostująca ogłosiła prywatne zgłaszanie luk w zabezpieczeniach przy okazji globalnego wydarzenia dla programistów GitHub Universe 2022, podczas którego zapowiedziała również ogólną dostępność obsługi CodeQL dla języka Ruby, nowy interfejs pokazujący zagrożenia bezpieczeństwa i zasięg dla użytkowników GitHub Enterprise oraz finansowanie dla programistów open source. Dzięki nowej inicjatywie GitHub Accelerator platforma zapewni nagrody w wysokości 20 000 USD dla 20 programistów, którzy utrzymują repozytoria open source. Nowy fundusz M12 GitHuba będzie miał wartość 10 milionów USD i ma wspierać przyszłe firmy open source.