GitHub permite a los desarrolladores notificar a sus compañeros sobre las vulnerabilidades descubiertas, en silencio. La compañía dice que esto evitará el juego de «nombre y vergüenza» y evitará las explotaciones que podrían resultar de la divulgación pública.
en una entrada de blog (se abre en una pestaña nueva) A principios de esta semana, GitHub dijo que dada la forma en que la plataforma está configurada actualmente, a veces no hay otra opción que divulgar una vulnerabilidad públicamente, y antes de que se pueda implementar el software de eliminación de malware, alertando a los posibles actores de amenazas.
“Los investigadores de seguridad a menudo se sienten responsables de alertar a los usuarios sobre una vulnerabilidad que podría explotarse”, se lee en el blog. “Si no hay instrucciones claras sobre cómo contactar a los mantenedores del repositorio que contiene la vulnerabilidad. Potencialmente puede conducir a una divulgación pública de los detalles de la vulnerabilidad”.
Informes privados de vulnerabilidad
Para abordar el problema, GitHub ahora ha introducido informes privados de vulnerabilidades, esencialmente un formulario de informe simple.
Cuando un desarrollador intenta comunicarse con el mantenedor de la vulnerabilidad afectada a través de un informe de vulnerabilidad privado, este último puede optar por aceptarlo, hacer más preguntas o rechazarlo.
“Si acepta el informe, está listo para colaborar en una solución para la vulnerabilidad en privado con el investigador de seguridad”, explica la publicación.
La plataforma propiedad de Microsoft también espera que este método de divulgación agilice los esfuerzos de resolución de problemas, ya que los informes se tratan en un solo lugar. Además, brinda a los mantenedores la oportunidad de discutir los detalles de la vulnerabilidad en privado con los investigadores de seguridad y, en última instancia, utilizar el software de administración de parches para colaborar en una solución.
La comunidad del repositorio ha recibido con agrado la noticia, El registro (se abre en una pestaña nueva) informado. Habló con varios CTO, ingenieros técnicos y cazadores de amenazas, y todos coincidieron en que dicha función tenía una gran demanda en GitHub.