GitHub現在允許研究人員私下向項目維護者報告安全漏洞
GitHub宣布正式上線提供私人漏洞報告功能,以便研究人員和更廣泛的公眾可以私下報告漏洞。有了這個功能,研究人員可以在不公開披露弱點的情況下報告漏洞。這確保了惡意行為者不會在修復措施發布之前利用這些漏洞。
私人漏洞報告首先在GitHub Universe 2022年作為公開測試版提供。從那時起,30000個組織的維護者已經在超過180,000個存儲庫中啟用了該功能。GitHub表示,這種私人報告機制啟動以來,已經收到了超過1000份報告。
隨著GitHub將這一功能晉升為普遍可用,它還增加了幾個新功能。第一個改進讓維護者可以在其組織中的所有倉庫上啟用該功能,而不是一次只啟用一個倉庫。維護者還可以為那些幫助發現問題的人指定一個類型,一些類型包括分析員、發現者、贊助者等等。
最後,還有一個新的版本庫安全顧問的API,方便與第三方系統的整合,自動提交,和漏洞警報。希望隨著這一功能的普及,開源項目會變得更安全一些。