GitHub cho phép kích hoạt tính năng báo cáo lỗ hổng bảo mật với quy mô lớn

GitHub đã thông báo rằng tính năng báo cáo lỗ hổng bảo mật riêng tư đã khả dụng rộng rãi và có thể được kích hoạt trên quy mô lớn, trên tất cả các kho lưu trữ của tổ chức.

Sau khi tính năng được bật, các nhà nghiên cứu bảo mật có thể sử dụng kênh liên lạc chuyên dụng này để báo cáo riêng các vấn đề bảo mật cho những người bảo trì dự án nguồn mở mà không làm rò rỉ các chi tiết về lỗ hổng.

Đây là "kênh cộng tác riêng giúp các nhà nghiên cứu và người bảo trì dễ dàng báo cáo và khắc phục các lỗ hổng trên các kho lưu trữ công cộng", Eric Tooley và Kate Catlin của GitHub cho biết.

Kể từ khi được giới thiệu dưới dạng tính năng chọn tham gia vào tháng 11 năm 2022 trong sự kiện dành cho nhà phát triển toàn cầu GitHub Universe 2022, "các nhà bảo trì cho hơn 30 nghìn tổ chức đã kích hoạt tính năng báo cáo lỗ hổng bảo mật riêng tư trên hơn 180 nghìn kho lưu trữ, nhận được hơn 1.000 lượt gửi từ các nhà nghiên cứu bảo mật."

Dễ dàng kích hoạt trên kho lưu trữ của tổ chức

Trong giai đoạn thử nghiệm beta công khai, tùy chọn báo cáo các lỗ hổng riêng tư chỉ có thể được kích hoạt bởi người bảo trì và chủ sở hữu trên các kho lưu trữ duy nhất.

Bắt đầu từ tuần này, giờ đây họ có thể kích hoạt kênh báo cáo lỗi trực tiếp này cho tất cả các kho lưu trữ trong tổ chức của mình.

GitHub cũng đã thêm hỗ trợ tích hợp và tự động hóa thông qua API tư vấn bảo mật kho lưu trữ mới cho phép gửi các báo cáo riêng tư tới các hệ thống quản lý lỗ hổng của bên thứ ba và gửi cùng một báo cáo tới nhiều kho lưu trữ có chung lỗ hổng bảo mật.

Nó cũng có thể được định cấu hình để báo cáo lỗi riêng tư được bật tự động trên tất cả các kho lưu trữ công khai mới.

Có thể bật chức năng này trong 'Phân tích và bảo vệ mật mã (Code security and analysis)' bằng cách nhấp vào nút 'Bật tất cả (Enable all)' bên cạnh tùy chọn 'Báo cáo lỗ hổng bảo mật (Private vulnerability reporting)'.

Kích hoạt tính năng báo cáo lỗ hổng bảo mật (GitHub)

Nguồn: bleepingcomputer.com