GitHub, açık kaynak havuzları için özel güvenlik açığı raporlama özelliğinin artık tüm proje sahiplerinin kullanımına sunulduğunu duyurdu.
Genel kullanılabilirlik
Özel güvenlik açığı raporlama özelliği, araştırmacıların güvenlik açıklarını daha kolay bir şekilde bildirmesine ve bakım görevlilerinin bunları kolayca düzeltmesine olanak tanıyan doğrudan bir işbirliği kanalı sağlar.
Kasım 2022’den beri herkese açık beta sürümünde mevcuttur.
GitHub’dan Kate Catlin ve Eric Tooley, “O zamandan beri, 30.000’den fazla kuruluşun bakımcıları, 180.000’den fazla havuzda özel güvenlik açığı raporlamasını etkinleştirdi ve güvenlik araştırmacılarından 1.000’den fazla başvuru aldı” dedi.
Artık özellik genel kullanıma sunulduğundan, bakımcılar bunu kuruluşlarının tüm havuzlarında etkinleştirebilir (genel beta sürümünde, özellik yalnızca bireysel havuzlarda etkinleştirilebilir).
Özel güvenlik açığı raporlamasını etkinleştirme (Kaynak: GitHub)
Güvenlik açığı raporlamasını ve düzeltmeyi basitleştirme
GitHub güvenlik elçisi ve OpenSSF Project Alpha-Omega’nın kıdemli araştırmacısı Jonathan Leitschuh, “Bir araştırmacı olarak en büyük mücadelelerden biri, güvenlik açığını bakımcıya ifşa etmek için ilk teması kurmaktı” dedi.
Ancak özel güvenlik açığı raporlaması, hem güvenlik araştırmacıları hem de proje yürütücüleri için uygundur: gerekli tüm bilgileri değiş tokuş etmelerine ve karmaşık karşılıklı e-posta gönderimlerinden kaçınmalarına olanak tanır.
Güvenlik araştırmacıları, birden çok depoda (paketler ortak bir güvenlik açığını paylaştığında) özel bir güvenlik açığı raporu açmak için yeni depo güvenlik danışma API’sini de kullanabilir ve proje sahipleri bu raporları GitHub’dan kullandıkları üçüncü taraf güvenlik açığı yönetim sistemlerine kanalize edebilir.