GitHub 允许开发人员悄悄地通知他们的同行发现的漏洞。该公司表示,这将避免“名誉扫地”游戏,并防止可能因公开披露而导致的剥削。
在博客文章中(在新标签页中打开)本周早些时候,GitHub 表示,鉴于该平台目前的设置方式,有时别无选择,只能公开披露漏洞 - 在部署恶意软件清除软件之前- 提醒潜在的威胁参与者。
“安全研究人员通常觉得有责任提醒用户注意可能被利用的漏洞,”该博客写道。“如果没有关于联系包含漏洞的存储库的维护者的明确说明。它可能会导致漏洞细节的公开披露。”
私有漏洞报告
为了解决这个问题,GitHub 现在引入了私有漏洞报告——本质上是一种简单的报告形式。
当开发人员试图通过私有漏洞报告联系受影响漏洞的维护者时,后者可以选择接受它、提出更多问题或拒绝它。
“如果你接受报告,你就准备好与安全研究人员私下合作修复漏洞,”帖子解释道。
微软拥有的平台还希望这种披露方法能够简化故障排除工作,因为报告是在一个地方处理的。此外,它还让维护人员有机会与安全研究人员私下讨论漏洞细节,并最终使用补丁管理软件协作修复。
存储库的社区欢迎新闻The Register(在新标签页中打开) 报道。它与多位 CTO、技术工程师和威胁猎手进行了交谈,他们都同意 GitHub 上对这种功能的需求很高。
领取专属 10元无门槛券
私享最新 技术干货