GitHub, özel güvenlik açığı raporlamasının artık genel olarak mevcut olduğunu ve bir kuruluşa ait tüm depolarda ölçeklendirilebileceğini duyurdu.
Güvenlik araştırmacıları, bu özel iletişim kanalını, güvenlik açık sorunlarını yanlışlıkla sızdırmadan açık kaynaklı bir projenin bakımcılarına özel olarak ifşa etmek için bu özel iletişim kanalını kullanabilirler.
Github'ın Eric Tooley ve Kate Catlin, "bu, araştırmacıların ve bakımcıların kamu depoları üzerindeki güvenlik açıklarını bildirmesini ve düzeltmesini kolaylaştıran özel bir işbirliği kanalıdır.
GitHub Universe 2022 Global Geliştirici Etkinliği sırasında Kasım 2022'de bir katılım özelliği olarak tanıtımından bu yana, "30 bin'den fazla kuruluş için bakım yapanlar, güvenlik araştırmacılarından 1.000'den fazla başvuru alarak 180 bin depodan daha fazla depo alarak özel güvenlik açığı raporlamasını sağladı."
Genel beta test aşaması sırasında, özel güvenlik açıklarını bildirme seçeneği yalnızca bakımcılar ve depo sahipleri tarafından yalnızca tek depolarda etkinleştirilebilir.
Bu haftadan itibaren, artık kuruluşlarındaki tüm depolar için bu doğrudan hata raporlama kanalını etkinleştirebilirler.
Github ayrıca, üçüncü taraf güvenlik açığı yönetim sistemlerine özel raporlar gönderilmesini ve aynı raporu bir güvenlik kusurunu paylaşan birden fazla depoya göndermeyi sağlayan yeni bir depo güvenlik danışmanlığı API'sı aracılığıyla entegrasyon ve otomasyon desteği ekledi.
Ayrıca, özel hata raporlaması tüm yeni kamu depolarında otomatik olarak etkinleştirilmesi için yapılandırılabilir.
İşlevsellik, 'Özel Güvenlik Açığı Raporlama' seçeneğinin yanındaki 'Tümünü Etkinleştir' düğmesini tıklayarak 'Kod Güvenliği ve Analizi' altında etkinleştirilebilir.
Kamu depolarının sahipleri ve yöneticileri, çözüldükleri aynı platformda hata raporları almalarını, araştırmacılarla tüm ayrıntıları tartıştıklarından ve bir yama oluşturmak için onlarla güvenli bir şekilde işbirliği yapmalarını sağlamak için özel güvenlik açığı raporlarını değiştirmelidir.
Etkinleştirildikten sonra, güvenlik araştırmacıları, Raporlama> Tavsiyeler kapsamında sol kenar çubuğunda 'Güvenlik Açığı Raporu'na tıklayarak Depo adı altındaki GitHub'a doğrudan GitHub'a özel güvenlik raporları gönderebilir.
Özel hata raporları, bu belge sayfasında açıklanan parametreler kullanılarak GitHub REST API üzerinden de gönderilebilir.
Geçen ay Github, gizli tarama uyarıları hizmetinin artık genel olarak tüm kamu depoları için mevcut olduğunu duyurdu.
APC, UPS yazılımındaki kritik kimlik doğrulanmamış RCE kusurlarını uyarıyor
GhostToken GCP Kususu Saldırganların Backdoor Google Hesaplarına İzin Ver
VMware, Vrealize Günlük Analizi Aracı'ndaki kritik güvenlik hatalarını düzeltir
Bilgisayar korsanları aktif olarak kritik RCE hatasını kağıtkut sunucularında kullanır
Fortra, Goany Where MFT Zero-Day saldırılarıyla ilgili bulguları paylaşıyor
Kaynak: Bleeping Computer