GitHub, özel güvenlik açığı raporlamasının artık genel kullanıma sunulduğunu ve bir kuruluşa ait tüm depolarda geniş ölçekte etkinleştirilebileceğini duyurdu.
Açıldıktan sonra, güvenlik araştırmacıları bu özel iletişim kanalını güvenlik sorunlarını açık kaynaklı bir projenin bakım görevlilerine kazara güvenlik açığı ayrıntılarını sızdırmadan özel olarak ifşa etmek için kullanabilirler.
GitHub’dan Eric Tooley ve Kate Catlin, bunun “araştırmacıların ve bakım görevlilerinin halka açık depolardaki güvenlik açıklarını bildirmesini ve düzeltmesini kolaylaştıran özel bir işbirliği kanalı” olduğunu söyledi.
Kasım 2022’de GitHub Universe 2022 küresel geliştirici etkinliği sırasında bir katılım özelliği olarak sunulmasından bu yana, “30.000’den fazla kuruluşun bakım sağlayıcıları, güvenlik araştırmacılarından 1.000’den fazla başvuru alarak 180.000’den fazla havuzda özel güvenlik açığı raporlamasını etkinleştirdi.”
Bir kuruluşun depolarında etkinleştirmesi kolay
Genel beta testi aşamasında, özel güvenlik açıklarını bildirme seçeneği yalnızca bakımcılar ve havuz sahipleri tarafından yalnızca tek havuzlarda etkinleştirilebilir.
Bu haftadan itibaren, artık bu doğrudan hata raporlama kanalını kuruluşlarındaki tüm havuzlar için etkinleştirebilirler.
GitHub ayrıca, özel raporların üçüncü taraf güvenlik açığı yönetim sistemlerine gönderilmesine ve aynı raporun bir güvenlik kusurunu paylaşan birden çok depoya gönderilmesine olanak tanıyan yeni bir havuz güvenlik danışma API’si aracılığıyla entegrasyon ve otomasyon desteği ekledi.
Ayrıca tüm yeni genel havuzlarda özel hata raporlamanın otomatik olarak etkinleştirilmesi için yapılandırılabilir.
İşlevsellik, ‘Özel güvenlik açığı raporlaması’ seçeneğinin yanındaki ‘Tümünü etkinleştir’ düğmesine tıklayarak ‘Kod güvenliği ve analizi’ altında etkinleştirilebilir.
Genel havuzların sahipleri ve yöneticileri, hata raporlarını çözüldükleri yerde aynı platformda almalarını, tüm ayrıntıları araştırmacılarla tartışmalarını ve bir yama oluşturmak için onlarla güvenli bir şekilde işbirliği yapmalarını sağlamak için özel güvenlik açığı raporlamasını değiştirmelidir.
Etkinleştirildikten sonra güvenlik araştırmacıları, özel güvenlik raporlarını doğrudan GitHub’da depo adının altındaki Güvenlik sekmesinden, Raporlama > Öneriler altında sol kenar çubuğundaki ‘Bir güvenlik açığı bildir’ seçeneğine tıklayarak gönderebilirler.
Özel hata raporları, bu dokümantasyon sayfasında açıklanan parametreler kullanılarak GitHub REST API aracılığıyla da gönderilebilir.
Geçen ay GitHub, gizli tarama uyarıları hizmetinin artık genel olarak tüm halka açık depolarda kullanılabileceğini duyurdu.