GitHub上周公布一项功能,让外界安全研究人员能直接通报公开存储库漏洞。
这项功能让公开存储库的主持人及管理者允许安全研究人员循私下通报渠道、通知他们存储库的漏洞。任何人获得这些管理员许可都可以启动(或关闭)通报。
安全研究人员经常认为有必要通知用户有可能被滥用的漏洞,但若没有联系存储库管理员及维护单位的清楚指示,他们往往只能在社群媒体贴文、私信管理员甚至创建公开issue。但这类做法可能导致漏洞细节被公开。
因此GitHub将提供私下漏洞通报的渠道,可让安全研究人员以简单表格形式,更容易直接通报管理员。外界安全研究人员通报漏洞时,管理员会获得通知,他们可选择要不要接受、或是问更多问题。他们若接受通报,也会启动和研究人员合作修补漏洞的过程。
GitHub表示,对存储库管理人员来说,使用私下漏洞通报的好处很多,像是降低被公开联系,或是外人以他们不希望的途径联系的风险,而且管理员可以在同一平台上接获通报、讨论、解决漏洞,比较单纯,也在同一平台上和外部研究人员讨论修补程序。研究人员也能代表管理员创建或发出安全公告。更重要的是,漏洞细节比较不会泄露出去。
管理员设置方式如下。在GitHub.com上,从存储库主页的存储库名称下,点击“设置”进入。接着,他们可在侧边菜单的“安全”区,点击“程序代码安全及分析”,然后在右边的“私下漏洞通报”区,点击“打开”或“关闭”通报功能。
图片来源/GitHub
管理员启动私下安全通报后,研究人员在存储库的“公告”(Advisories)页看见一个新按钮。他们按下此键即可启动通报。
图片来源/GitHub