GitHub 不希望用户再点名羞辱安全漏洞

GitHub 允许开发人员悄悄地通知他们的同行发现的漏洞。该公司表示，这将避免“名誉扫地”游戏，并防止可能因公开披露而导致的剥削。

在博客文章中（在新标签页中打开）本周早些时候，GitHub 表示，鉴于该平台目前的设置方式，有时别无选择，只能公开披露漏洞 - 在部署恶意软件清除软件之前- 提醒潜在的威胁参与者。

“安全研究人员通常觉得有责任提醒用户注意可能被利用的漏洞，”该博客写道。“如果没有关于联系包含漏洞的存储库的维护者的明确说明。它可能会导致漏洞细节的公开披露。”

私有漏洞报告

为了解决这个问题，GitHub 现在引入了私有漏洞报告——本质上是一种简单的报告形式。

当开发人员试图通过私有漏洞报告联系受影响漏洞的维护者时，后者可以选择接受它、提出更多问题或拒绝它。

“如果你接受报告，你就准备好与安全研究人员私下合作修复漏洞，”帖子解释道。

微软拥有的平台还希望这种披露方法能够简化故障排除工作，因为报告是在一个地方处理的。此外，它还让维护人员有机会与安全研究人员私下讨论漏洞细节，并最终使用补丁管理软件协作修复。

存储库的社区欢迎新闻The Register（在新标签页中打开） 报道。它与多位 CTO、技术工程师和威胁猎手进行了交谈，他们都同意 GitHub 上对这种功能的需求很高。