GitHub a annoncé que les rapports de vulnérabilité privés sont désormais généralement disponibles et peuvent être activés à grande échelle, sur tous les référentiels appartenant à une organisation.

Une fois activé, les chercheurs en sécurité peuvent utiliser ce canal de communication dédié pour divulguer en privé les problèmes de sécurité aux responsables d’un projet open source sans divulguer accidentellement les détails de la vulnérabilité.

Il s’agit « d’un canal de collaboration privé qui permet aux chercheurs et aux mainteneurs de signaler et de corriger plus facilement les vulnérabilités des référentiels publics », ont déclaré Eric Tooley et Kate Catlin de GitHub.

Depuis son introduction en tant que fonctionnalité opt-in en novembre 2022 lors de l’événement mondial des développeurs GitHub Universe 2022, « les responsables de plus de 30 000 organisations ont activé les rapports de vulnérabilité privés sur plus de 180 000 référentiels, recevant plus de 1 000 soumissions de chercheurs en sécurité ».

Facile à activer dans les référentiels d’une organisation
Pendant la phase de test bêta public, l’option de signaler les vulnérabilités privées ne pouvait être activée par les mainteneurs et les propriétaires de référentiels que sur des référentiels uniques.

À partir de cette semaine, ils peuvent désormais activer ce canal de signalement direct des bogues pour tous les référentiels de leur organisation.

GitHub a également ajouté la prise en charge de l’intégration et de l’automatisation via une nouvelle API d’avis de sécurité du référentiel qui permet d’envoyer des rapports privés à des systèmes de gestion des vulnérabilités tiers et de soumettre le même rapport à plusieurs référentiels partageant une faille de sécurité.

Il peut également être configuré pour que les rapports de bogues privés soient automatiquement activés sur tous les nouveaux référentiels publics.

La fonctionnalité peut être activée sous « Sécurité et analyse du code » en cliquant sur le bouton « Tout activer » à côté de l’option « Rapport de vulnérabilité privée ».

Les propriétaires et les administrateurs de référentiels publics doivent activer les rapports de vulnérabilité privés pour s’assurer qu’ils reçoivent les rapports de bogues sur la même plate-forme où ils sont résolus, discuter de tous les détails avec les chercheurs et collaborer en toute sécurité avec eux pour créer un correctif.

Une fois activé, les chercheurs en sécurité peuvent soumettre des rapports de sécurité privés directement sur GitHub à partir de l’onglet Sécurité sous le nom du référentiel en cliquant sur « Signaler une vulnérabilité » dans la barre latérale gauche, sous Rapports > Avis.

Les rapports de bogues privés peuvent également être envoyés via l’API GitHub REST en utilisant les paramètres décrits sur cette page de documentation.

Le mois dernier, GitHub a également annoncé que son service d’alertes d’analyse secrète est désormais généralement disponible pour tous les référentiels publics.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *