GitHub正式啟用私下漏洞通報管道

圖片來源: 

GitHub

了自去年11月便展開測試的私下漏洞通報（Private Vulnerability Reporting）管道，可讓安全研究人員更方便通報公共儲存庫的漏洞予專案維護人員。

過去安全研究人員在發現專案漏洞之後，有時會直接張貼在社交媒體，建立一個公開issue，或是傳訊給維護者，而私下漏洞通報則允許研究人員利用一個簡單的格式直接向維護人員揭露漏洞，並讓雙方得以合作進行修復。

專案維護人員可於儲存庫設定中的程式碼安全與分析（Code Security and Analysis）啟用此一新功能，有別於測試版必須在每個個別的儲存庫中設定，正式版新增了一個選項，可讓維護人員一次啟用組織內的所有儲存庫；亦可選擇如何歸功漏洞的發現，例如來自分析師、工具或簡單的發現者。

感應門神,推薦沙發修理,老師傅的專業手工!海島型木地板是否會有潮濕變形疑慮?測試專家告訴你如何好好使用示波器。好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享！專業客製化禮物、贈品設計，辦公用品常見【L夾】搖身一變大受好評!空壓機合理價格為您解決工作中需要。臭氧機推薦。貨櫃屋，結合生活理念、發揮無限的創意及時尚的設計。竹北床墊推薦！總是為了廚餘煩惱嗎？雅高環保提供最適用的廚餘機，滿足多樣需求。實木地板、海島型地板、耐磨地板怎麼挑？ 木地板三倍價差的秘密!!沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的

正式版還有全新的儲存庫安全公告API（Repository Security Advisories API ），可用來與第三方系統整合，包括將GitHub上的漏洞報告傳送至第三方的漏洞管理平臺，讓安全研究人員可將同一個漏洞報告提交至不同的儲存庫，或是作為漏洞警報之用。

GitHub表示，此一漏洞通報管道自去年11月進行公開測試之後，就有超過3,000家組織的維護人員於18萬個儲存庫中啟用了該功能，所收到的漏洞通報超過1,000筆。JSON5專案利用該管道與安全研究人員取得了聯繫，其修補程式觸發了逾1,100萬個警報，除了彰顯JSON5的熱門程度之外，也展現了此一功能的價值。

私下漏洞通報主要供公共儲存庫使用，且為一免費服務。

https://www.ithome.com.tw/news/156531