GitHub宣布正式成立漏洞通報管道 公開全球用戶使用
編譯/鄭智懷
原始碼代管服務服務商GitHub在本月稍早正式宣布結束漏洞通報測試,並全面開放世界各地的安全研究人員,透過新設的秘密通報管道直接提供資安漏洞資訊,避免其中資料意外洩露而為犯罪者利用。
GitHub在公開聲明中指出,通報管道的設立旨在使研究者與維護方之間能更「輕鬆地報告和修復公共儲存庫漏洞」,解決個別研究者難以找到可靠管道向維護方揭露安全漏洞之問題。
聲明中提到,公司在全面公開通報管道之前,於2022年率先執行測試版,企圖透過各界使用經驗與回饋,最佳化整個方案與其細節。整個測試涵蓋全球3萬個單位的維護員,逾18萬筆來自各公共儲存庫安全漏洞通報,以及全球破千份資安研究報告。
兩位聲明執筆人,同時也是身任GitHub資深產品行銷經理(PMM)Eric Tooley,以及資料庫產品經理Kate Catlin提到,參與測試的案例顯示該通報管道同時有利於維護方與研究者。就前者而言,可以快速且有效獲得完整的漏洞資訊,執行漏洞的修復程序;以後者而論,則可以避免因網路釣魚等疑慮,導致漏洞通報被忽視,以及以電子郵件來回聯繫的負擔。
基於回饋意見,GitHub除了全面公開通報管道之外,還新增如整合與自動化功能,使通報者可以自由選擇將漏洞報告傳送給第三方管理單位,並且與多家儲存庫共享資訊。另外,所有用戶還可以透過設定,選擇是否自動接收通報通知與回饋意見。
資料來源:GitHub
瀏覽 713 次