GitHub maakt het mogelijk voor beveiligingsonderzoekers om privé kwetsbaarheden te melden aan beheerders van repositories. Dat was al mogelijk in bèta, maar nu wordt dat ras beschikbaar voor 30.000 organisaties die samen meer dan 180.000 repo’s beheren.
GitHub schrijft in een blogpost dat het de privé kwetsbaarheidsrapportage algemeen beschikbaar maakt. Met die optie kunnen externe beveiligingsonderzoekers gemakkelijk contact opnemen met beheerders van een repository als ze daar kwetsbaarheden vinden. Beheerders kunnen de functie aanzetten voor hun repo’s, waardoor onderzoekers privécontact kunnen leggen met de juiste persoon zonder eerst naar de website van een bedrijf of instantie op zoek te moeten naar een contactpersoon van -e-mailadres. GitHub heeft de functie in november van vorig jaar aangekondigd tijdens zijn ontwikkelaarsconferentie GitHub Universe. Nu kunnen alle repobeheerders de functie inschakelen via het menu Codebeveiliging en analyse-instellingen. Het gaat om een opt-in.
Volgens GitHub zijn er inmiddels 30.000 organisaties die privémeldingen voor kwetsbaarheden mogelijk hebben gemaakt. Dat zou gelden voor meer dan 180.000 repositories, die voor meer dan duizend meldingen hebben gezorgd.
GitHub levert direct ook enkele nieuwe aspecten van de functionaliteit op. Zo kunnen de meldingen nu worden ingeschakeld voor alle opslagplaatsen binnen een organisatie; tijdens de bètaperiode kon dat alleen nog voor individuele repo’s. Ook komen er verschillende api’s beschikbaar, inclusief een die het mogelijk maakt een privémelding ook via platforms van derden door te voeren. Daarnaast kunnen beveiligingsonderzoekers een kwetsbaarheid melden in alle beschikbare repo’s waar die bug voorkomt.
credit :Source link
