GitHub ermöglicht es Entwicklern, ihre Kollegen über entdeckte Schwachstellen zu benachrichtigen – leise. Das Unternehmen sagt, dass dies das „Name and Shame“-Spiel vermeiden und Ausbeutungen verhindern wird, die sich aus einer öffentlichen Offenlegung ergeben könnten.
In einem Blogeintrag (öffnet in neuem Tab) Anfang dieser Woche sagte GitHub angesichts der Art und Weise, wie diese Plattform derzeit eingerichtet ist, dass es manchmal keine andere Möglichkeit gibt, als eine Schwachstelle öffentlich offenzulegen – und bevor Software zum Entfernen von Malware bereitgestellt werden kann –, um potenzielle Bedrohungsakteure zu warnen.
„Sicherheitsforscher fühlen sich oft dafür verantwortlich, Benutzer auf eine Schwachstelle aufmerksam zu machen, die ausgenutzt werden könnte“, heißt es im Blog. „Wenn es keine klaren Anweisungen zur Kontaktaufnahme mit den Betreuern des Repositorys gibt, das die Schwachstelle enthält. Dies kann möglicherweise zu einer öffentlichen Offenlegung der Schwachstellendetails führen.“
Private Meldung von Sicherheitslücken
Um das Problem anzugehen, hat GitHub jetzt ein privates Vulnerability Reporting eingeführt – im Wesentlichen ein einfaches Meldeformular.
Wenn ein Entwickler versucht, den Betreuer der betroffenen Schwachstelle über Private Vulnerability Reporting zu erreichen, kann letzterer wählen, ob er sie akzeptieren, weitere Fragen stellen oder sie ablehnen möchte.
„Wenn Sie den Bericht akzeptieren, sind Sie bereit, gemeinsam mit dem Sicherheitsforscher an einer Lösung für die Schwachstelle zu arbeiten“, erklärt der Beitrag.
Die Microsoft-eigene Plattform hofft auch, dass diese Offenlegungsmethode die Fehlerbehebungsbemühungen rationalisieren wird, da Berichte an einem einzigen Ort bearbeitet werden. Darüber hinaus gibt es den Betreuern die Möglichkeit, Schwachstellendetails privat mit Sicherheitsforschern zu besprechen und schließlich Patch-Management-Software zu verwenden, um gemeinsam an einer Lösung zu arbeiten.
Die Community des Repositorys hat die Nachricht begrüßt, Das Register (öffnet in neuem Tab) gemeldet. Es sprach mit mehreren CTOs, technischen Ingenieuren und Bedrohungsjägern, die sich alle einig waren, dass eine solche Funktion auf GitHub sehr gefragt war.