La función de informes de vulnerabilidad privada de GitHub, que ha sido probada desde finales del año pasado, ahora está disponible para el público en general.
En el futuro, los mantenedores de código abierto (se abre en una pestaña nueva) Los proyectos podrán comunicarse directamente con los investigadores de seguridad y recibir información sobre problemas de seguridad sin el riesgo de que las vulnerabilidades se hagan públicas.
Los mantenedores pueden habilitar la función a escala y, por lo tanto, proteger mejor todos sus repositorios. Anteriormente, los mantenedores de proyectos de código abierto solo podían activar la función en un único repositorio.
Impulso de seguridad de GitHub
Eric Tooley y Kate Caitlin de GitHub describieron la función como «un canal de colaboración privada que facilita a los investigadores y mantenedores informar y corregir vulnerabilidades en repositorios públicos».
La compañía lo presentó por primera vez en noviembre de 2022 y, desde entonces, los mantenedores de más de 30 000 organizaciones activaron la función, protegiendo más de 180 000 repositorios. Los investigadores de seguridad han realizado más de 1000 presentaciones durante ese tiempo.
La plataforma también anunció una nueva API de avisos de seguridad de repositorio que admite una serie de nuevos flujos de trabajo de integración y automatización. Entre otras cosas, «los mantenedores pueden canalizar informes de vulnerabilidad privados de GitHub a sistemas de gestión de vulnerabilidades de terceros», mientras que «los investigadores de seguridad también pueden usar la API para abrir mediante programación un informe de vulnerabilidad privado en múltiples repositorios».
Finalmente, los mantenedores y los investigadores de seguridad pueden programar pings automáticos para notificaciones de nuevos informes de vulnerabilidad.
Los ciberataques a la cadena de suministro se han vuelto bastante populares en estos días, convirtiendo a GitHub en uno de los vectores de ataque más populares que existen. Los actores de amenazas abusarían de la plataforma para ocultar código malicioso, posiblemente distribuyéndolo a cientos de proyectos a la vez. Por lo tanto, proteger los repositorios de código fuente abierto como GitHub se ha vuelto esencial para las pequeñas y medianas empresas a medida que escalan sus operaciones digitales.