GitHub宣布正式成立漏洞通報管道　公開全球用戶使用

編譯／鄭智懷

原始碼代管服務服務商GitHub在本月稍早正式宣布結束漏洞通報測試，並全面開放世界各地的安全研究人員，透過新設的秘密通報管道直接提供資安漏洞資訊，避免其中資料意外洩露而為犯罪者利用。

GitHub在公開聲明中指出，通報管道的設立旨在使研究者與維護方之間能更「輕鬆地報告和修復公共儲存庫漏洞」，解決個別研究者難以找到可靠管道向維護方揭露安全漏洞之問題。

聲明中提到，公司在全面公開通報管道之前，於2022年率先執行測試版，企圖透過各界使用經驗與回饋，最佳化整個方案與其細節。整個測試涵蓋全球3萬個單位的維護員，逾18萬筆來自各公共儲存庫安全漏洞通報，以及全球破千份資安研究報告。

兩位聲明執筆人，同時也是身任GitHub資深產品行銷經理（PMM）Eric Tooley，以及資料庫產品經理Kate Catlin提到，參與測試的案例顯示該通報管道同時有利於維護方與研究者。就前者而言，可以快速且有效獲得完整的漏洞資訊，執行漏洞的修復程序；以後者而論，則可以避免因網路釣魚等疑慮，導致漏洞通報被忽視，以及以電子郵件來回聯繫的負擔。

基於回饋意見，GitHub除了全面公開通報管道之外，還新增如整合與自動化功能，使通報者可以自由選擇將漏洞報告傳送給第三方管理單位，並且與多家儲存庫共享資訊。另外，所有用戶還可以透過設定，選擇是否自動接收通報通知與回饋意見。

資料來源：GitHub

瀏覽 670 次