- GitHub 引入了私有漏洞报告,使安全研究人员可以轻松地直接向维护人员报告漏洞。
- 当安全研究人员私下报告漏洞时,维护人员可以选择接受它、提出更多问题或拒绝它。
- GitHub 的新功能旨在防止漏洞被公开发布,以防止可能的利用情况。
GitHub推出了一项新功能,允许用户私下报告漏洞。在某些情况下,如果没有关于如何联系存储库维护者的说明;安全研究人员可能别无选择,只能公开发布有关该漏洞的信息。但是,它可能会导致漏洞的公开披露,并可能允许威胁行为者利用它。
私下报告漏洞
GitHub 的新特性,私有漏洞报告,是一种以简单的形式直接向维护者报告漏洞的新方法。当维护者私下收到报告时,他们会收到通知并可以接受、提出更多问题或拒绝。一旦报告被接受,维护人员可以与安全研究人员私下合作修复漏洞。对于维护者来说,使用私有漏洞报告的好处是:
- 减少被公开联系或通过不受欢迎的方式联系的风险。
- 为简单起见,在您解析报告的同一平台上接收报告
- 安全研究人员代表维护人员创建或至少启动咨询报告。
- 维护人员在与用于讨论和解决建议的平台相同的平台上接收报告。
- 漏洞不太可能出现在公众视野中。
- 与安全研究人员私下讨论漏洞细节并就补丁进行协作的机会。
要启用或禁用存储库的私有漏洞报告功能,用户可以:
- 在GitHub.com 上,导航到存储库的主页。
- 在您的存储库名称下,单击 Settings。
- 在侧边栏的“安全”部分,单击 代码安全和分析。
- 在“代码安全和分析”下,在“私有漏洞报告”右侧,单击“ 启用” 或 “禁用”,分别启用或禁用该功能。
为存储库启用新功能后,一个新按钮将出现在存储库的Advisory 页面上。安全研究人员可以单击此按钮向存储库维护人员私下报告安全漏洞。
