GitHub, la plataforma de alojamiento de repositorios de código fuente y desarrollo colaborativo de software, ha anunciado una nueva funcionalidad para habilitar informes privados de vulnerabilidad a escala en todas las organizaciones que utilizan su plataforma.
Los investigadores de seguridad pueden utilizar este canal dedicado para informar de forma privada sobre cualquier problema de seguridad en un proyecto de código abierto, sin compartir accidentalmente detalles de la vulnerabilidad con el público en general.
GitHub Code Security, la nueva herramienta de reportes privados de vulnerabilidades
Este nuevo canal es «un medio de colaboración privado que facilita a investigadores y mantenedores informar y corregir vulnerabilidades en repositorios públicos», según Eric Tooley y Kate Catlin de GitHub, quienes se encargaron de presentar esta novedad.
Anteriormente, durante la fase de prueba beta pública, los mantenedores y propietarios de repositorios solo podían habilitar los informes de vulnerabilidad privados en repositorios individuales. A partir de ahora, pueden activarlos en todos los repositorios dentro de su organización.
Además, GitHub ha añadido soporte de integración y automatización a través de una nueva API de avisos de seguridad de repositorio, que permite enviar informes privados a sistemas de administración de vulnerabilidades de terceros y compartir el mismo informe con múltiples repositorios que comparten una falla de seguridad.
También se puede configurar para que el informe privado de errores se habilite automáticamente en todos los repositorios públicos nuevos.
Cómo habilitar los informes de vulnerabilidad privados
Los propietarios y administradores de repositorios públicos deben habilitar los informes de vulnerabilidad privados para asegurarse de recibir informes de errores en la misma plataforma donde se resuelven, analizar todos los detalles con los investigadores y colaborar de forma segura con ellos para crear un parche.
Una vez habilitado, los investigadores de seguridad pueden enviar informes de seguridad privados directamente en GitHub desde la pestaña Seguridad debajo del nombre del repositorio haciendo clic en «Informar una vulnerabilidad» en la barra lateral izquierda, en Informes > Avisos.
Los informes de errores privados también se pueden enviar a través de la API REST de GitHub usando los parámetros descritos en esta página de documentación.
Función de reporte de vulnerabilidades disponible para todos los repositorios públicos de GitGub
El mes pasado, GitHub también anunció que su servicio de alertas de escaneo secreto ahora está disponible para todos los repositorios públicos.
Este servicio se utiliza para detectar y alertar sobre cualquier vulnerabilidad de seguridad en el código alojado en los repositorios públicos de GitHub. Una vez que se detecta una vulnerabilidad, GitHub envía una alerta al propietario del repositorio para que pueda tomar medidas para solucionar el problema.
Con esta nueva funcionalidad, GitHub sigue mejorando su plataforma de desarrollo colaborativo y seguridad para asegurarse de que los usuarios puedan trabajar de manera más eficiente y segura en la creación de proyectos de código abierto.