De functie maakt het makkelijker voor onderzoekers en beheerders om kwetsbaarheden op publieke repositories te melden en te verhelpen.
Deze week kondigde GitHub aan dat private vulnerability reporting nu algemeen beschikbaar is op alle repositories die bij een organisatie horen.
Met het nieuwe speciale communicatiekanaal kunnen beveiligingsonderzoekers beveiligingsproblemen privé melden aan de beheerders van een open-sourceproject in een veilige omgeving, zonder de dreiging van het uitlekken van kwetsbaarheidsdetails.
Eric Tooley, de Senior Product Marketing Manager van GitHub, en Kate Catlin, de Senior Product Manager van de organisatie, schreven samen een blogpost waarin ze de voordelen van de nieuwe functie uiteenzetten. “Dankzij de feedback van de open source gemeenschap hebben we een aantal verbeteringen doorgevoerd voor de algemene beschikbaarheid van private vulnerability reporting”, schrijven ze.
Privé kwetsbaarheden op schaal beschikbaar
De eerste van die verbeteringen is de mogelijkheid om de feature “op schaal” in te schakelen. Ze leggen uit dat private vulnerability reporting alleen kon worden ingeschakeld op individuele repositories tijdens de publieke bèta. “Nu kunnen beheerders private vulnerability rapportage inschakelen op alle repositories in hun organisatie”.
Er zijn ook meerdere credit types beschikbaar. “Beheerders kunnen kiezen hoe ze degenen die kwetsbaarheden vinden en bijdragen aan het verhelpen ervan crediteren”, zeggen ze.
Integratie en automatisering
Tot slot biedt de nieuwe functie een betere integratie en automatisering. Dit is te danken aan een nieuwe repository security advisories API die verschillende nieuwe integratie- en automatiseringsworkflows ondersteunt, zoals integratie met systemen van derden.
Geautomatiseerde indieningen zijn ook mogelijk. Beveiligingsonderzoekers kunnen de API gebruiken om programmatisch een privé-kwetsbaarheidsrapport te openen op meerdere repositories. Ze karakteriseren dit als “een tijdbesparend gemak wanneer pakketten een gemeenschappelijke kwetsbaarheid delen.”
Vulnerability alerts stellen iedereen in staat om kritieke repositories in de gaten te houden door automatische pings te plannen voor meldingen van nieuwe kwetsbaarheden.
Tooley en Catlin sluiten hun bericht af met de bevestiging dat het melden van privé kwetsbaarheden, net als de rest van GitHub’s beveiligingsmogelijkheden, gratis is voor publieke repositories.
Tip: Amazon CodeWhisperer is gratis alternatief voor GitHub Copilot
15 uur geleden
