GitHub permite a los desarrolladores notificar a sus compañeros sobre las vulnerabilidades descubiertas, de forma discreta. La compañía dice que esto evitará el juego de «nombre y vergüenza» y evitará exploits que podrían resultar de la divulgación pública.
En una publicación de blog (se abre en una nueva pestaña) a principios de esta semana, GitHub dijo que, dada la configuración actual de la plataforma, a veces no hay más remedio que divulgar públicamente una vulnerabilidad, y antes de que se pueda implementar el software de eliminación de malware, alertando sobre posibles amenazas. actores
«Los investigadores de seguridad a menudo se sienten responsables de alertar a los usuarios sobre una vulnerabilidad que podría explotarse», decía la publicación del blog. «Si no hay instrucciones claras para contactar a los mantenedores del repositorio que contiene la vulnerabilidad, esto puede conducir potencialmente a la divulgación pública de los detalles de la vulnerabilidad.
Informe de vulnerabilidad privada
Para abordar el problema, GitHub ahora ha introducido el Informe de vulnerabilidad privado, esencialmente un formulario de informe simple.
Cuando un desarrollador intenta ponerse en contacto con el mantenedor de la vulnerabilidad afectada a través de un informe de vulnerabilidad privado, el mantenedor puede optar por aceptarlo, hacer más preguntas o rechazarlo.
«Si acepta el informe, está listo para colaborar en una solución para la vulnerabilidad de forma privada con el investigador de seguridad», explica la publicación.
La plataforma propiedad de Microsoft también espera que este método de divulgación agilice los esfuerzos de resolución de problemas, ya que los informes se manejan en un solo lugar. Además, brinda a los mantenedores la capacidad de discutir los detalles de la vulnerabilidad en privado con los investigadores de seguridad y, en última instancia, utilizar el software de administración de parches para colaborar en una solución.
La comunidad del repositorio agradeció la noticia, informó The Register (opens in a new tab). Habló con varios CTO, ingenieros tecnológicos y cazadores de amenazas, quienes coincidieron en que dicha función tenía una gran demanda en GitHub.
