Il private vulnerability reporting di GitHub è disponibile (e sarà molto utile) per tutti

0

GitHub ha annunciato la general availability del private vulnerability reporting, ossia la possibilità di segnalare privatamente le vulnerabilità relative ai repository pubblici, per tutti i repository appartenenti a un’organizzazione.

La funzionalità potrebbe sembrare banale, ma una volta attivata, permette ai ricercatori di sicurezza di utilizzare un canale di comunicazione dedicato per divulgare privatamente i problemi di sicurezza ai manutentori di un progetto open-source, senza che i dettagli della vulnerabilità vengano diffusi accidentalmente.

Questo canale di collaborazione privato rende più facile per ricercatori e manutentori segnalare e correggere le vulnerabilità sui repository pubblici”, hanno affermato Eric Tooley e Kate Catlin di GitHub.

La funzionalità è stata presentata come opzionale nel novembre 2022, durante l’evento globale per sviluppatori GitHub Universe 2022. Per capirne la portata, basti pensare che dopo la presentazione i manutentori di oltre 30.000 organizzazioni hanno abilitato la segnalazione privata delle vulnerabilità su oltre 180.000 repository, ricevendo più di 1.000 invii da ricercatori di sicurezza.

Come racconta BleepingComputer, è possibile attivare la possibilità di queste segnalazioni direttamente dall’interfaccia GitHub, come mostra questo screenshot:

Esiste una pagina molto dettagliata sul private vulnerability reporting che GitHub ha messo a disposizione degli utenti.

L’utilizzo del private vulnerability reporting consentirà ai maintainer di far sì che tutte le soluzioni, possano essere applicate per tempo prima della pubblicazione della vulnerabilità ed in aggiunta alla scansione dei segreti di cui abbiamo già parlato fa capire quanto la tematica sicurezza sia cara a GitHub ed a tutte le aziende che producono software che gestisce il codice degli sviluppatori.

Certo, nulla impedirà a qualcuno di creare il consueto sensazionalismo che tante volte abbiamo visto in merito alle vulnerabilità, ma la disponibilità di uno strumento simile, in un mondo perfetto, dovrebbe facilitare il lavoro di tutti.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.