GitHub ahora permite habilitar informes privados de vulnerabilidades a escala

GitHub anunció que los informes privados de vulnerabilidad ahora están disponibles de forma general y se pueden habilitar a escala, en todos los repositorios que pertenecen a una organización.

Una vez activado, los investigadores de seguridad pueden usar este canal de comunicaciones dedicado para divulgar de forma privada los problemas de seguridad a los mantenedores de un proyecto de código abierto sin filtrar accidentalmente los detalles de la vulnerabilidad.

Este es “un canal de colaboración privada que facilita a los investigadores y mantenedores informar y corregir vulnerabilidades en repositorios públicos”, dijeron Eric Tooley y Kate Catlin de GitHub .

Desde su presentación como función opcional en noviembre de 2022 durante el evento global para desarrolladores GitHub Universe 2022 , “los mantenedores de más de 30 000 organizaciones han habilitado informes de vulnerabilidad privados en más de 180 000 repositorios, recibiendo más de 1000 envíos de investigadores de seguridad”.

Fácil de habilitar en los repositorios de una organización

Durante la fase de prueba beta pública, la opción de informar vulnerabilidades privadas solo podía ser activada por los mantenedores y propietarios de repositorios solo en repositorios individuales.

A partir de esta semana, ahora pueden habilitar este canal directo de informe de errores para todos los repositorios dentro de su organización.

GitHub también agregó soporte de integración y automatización a través de una nueva API de avisos de seguridad de repositorio que permite enviar informes privados a sistemas de administración de vulnerabilidades de terceros y enviar el mismo informe a múltiples repositorios que comparten una falla de seguridad.

También se puede configurar para que el informe privado de errores se habilite automáticamente en todos los repositorios públicos nuevos.

La funcionalidad se puede habilitar en ‘Seguridad y análisis de código’ haciendo clic en el botón ‘Habilitar todo’ junto a la opción ‘Informes privados de vulnerabilidad’.

​Los propietarios y administradores de repositorios públicos deben alternar los informes de vulnerabilidad privados para asegurarse de recibir informes de errores en la misma plataforma donde se resuelven, analizar todos los detalles con los investigadores y colaborar de forma segura con ellos para crear un parche.

Una vez habilitado, los investigadores de seguridad pueden enviar informes de seguridad privados directamente en GitHub desde la pestaña Seguridad debajo del nombre del repositorio haciendo clic en “Informar una vulnerabilidad” en la barra lateral izquierda, en Informes > Avisos.

Los informes de errores privados también se pueden enviar a través de la API REST de GitHub usando los parámetros descritos en esta página de documentación .

El mes pasado, GitHub también anunció que su servicio de alertas de escaneo secreto ahora está disponible para todos los repositorios públicos.