GitHub laat privé-bugmeldingen toe in externe repositories
GitHub heeft aangekondigd dat het nu mogelijk is om de functionaliteit voor het melden van privé kwetsbaarheden door externe beveiligingsonderzoekers in te schakelen. Dit was al beschikbaar in de bètafase, maar is nu uitgerold naar alle gebruikers.
Contact maken
Volgens een blogpost van GitHub kunnen externe beveiligingsonderzoekers nu eenvoudig contact opnemen met beheerders van een repository als ze daar kwetsbaarheden in vinden. Beheerders kunnen de functie inschakelen per repository, waardoor onderzoekers privé contact kunnen leggen met de juiste persoon zonder eerst op zoek te moeten gaan naar een contactpersoon of e-mailadres op de website van een bedrijf of instantie. De functionaliteit werd aangekondigd tijdens de ontwikkelaarsconferentie van GitHub Universe in november van vorig jaar en is nu beschikbaar via het Code security and analysis-instellingenmenu.
Succesvol
GitHub meldt dat er momenteel meer dan 30.000 organisaties zijn die privémeldingen voor kwetsbaarheden mogelijk hebben gemaakt, met meer dan 180.000 repositories die tijdens de proef gezamenlijk voor meer dan duizend meldingen hebben gezorgd. Bovendien heeft GitHub enkele nieuwe aspecten aan de functionaliteit toegevoegd, waaronder de mogelijkheid om de meldingen in te schakelen voor alle repo's binnen een organisatie en verschillende api's waarmee privémeldingen ook via third-party platformen kunnen worden doorgevoerd. Ten slotte kunnen beveiligingsonderzoekers nu ook geautomatiseerd een kwetsbaarheid melden in alle beschikbare repo's waar die bug voorkomt.
Extra bescherming
GitHub heeft naast deze functionaliteit ook andere veiligheidssnufjes voor de gehostte repository's. Zo kan 'dependabot' bijvoorbeeld automatisch je gebruikte externe packages up-to-date houden. Ook is er een mogelijkheid dat veiligheidsfouten in je code op GitHub kunnen worden opgespoord.
Gerelateerde nieuwsberichten
15/06/2023 Bestelgegevens duizenden webwinkels via onveilige betaalplug-in te achterhalen
16/01/2020 130.000 WordPress-sites kwetsbaar door lek in plug-in
05/06/2018 Microsoft neemt GitHub over
Om te reageren heb je een account nodig en je moet ingelogd zijn.