GitHub, geliştiricilerin keşfedilen güvenlik açıklarını meslektaşlarına sessizce bildirmelerine izin veriyor. Şirket, bunun “isim ve utanç” oyunundan kaçınacağını ve kamuya açıklama yapılmasından kaynaklanabilecek suistimalleri önleyeceğini söylüyor.
İçinde Blog yazısı (yeni sekmede açılır) GitHub, bu haftanın başlarında, platformun şu anda kurulu olduğu göz önüne alındığında, bazen bir güvenlik açığını kamuya ifşa etmekten ve kötü amaçlı yazılım temizleme yazılımı dağıtılmadan önce potansiyel tehdit aktörlerini uyarmaktan başka seçenek olmadığını söyledi.
Blogda, “Güvenlik araştırmacıları, kullanıcıları kötüye kullanılabilecek bir güvenlik açığı konusunda uyarmaktan genellikle sorumlu hissediyorlar” diyor. “Güvenlik açığını içeren deponun bakımcılarıyla iletişime geçme konusunda net talimatlar yoksa. Potansiyel olarak güvenlik açığı ayrıntılarının kamuya açıklanmasına yol açabilir.”
Özel güvenlik açığı raporlaması
Sorunun üstesinden gelmek için GitHub artık özel güvenlik açığı raporlamasını kullanıma sundu – temelde basit bir raporlama formu.
Bir geliştirici, Özel güvenlik açığı raporlama yoluyla etkilenen güvenlik açığının sahibine ulaşmaya çalıştığında, ikincisi bunu kabul etmeyi, daha fazla soru sormayı veya reddetmeyi seçebilir.
Gönderide, “Raporu kabul ederseniz, güvenlik araştırmacısıyla özel olarak güvenlik açığı için bir düzeltme üzerinde işbirliği yapmaya hazırsınız demektir” açıklaması yapılıyor.
Microsoft’a ait platform, raporlar tek bir yerde ele alındığından, bu ifşa yönteminin sorun giderme çabalarını kolaylaştıracağını da umuyor. Ayrıca, bakıcılara güvenlik araştırmacılarıyla güvenlik açığı ayrıntılarını özel olarak tartışma ve nihayetinde bir düzeltme üzerinde işbirliği yapmak için yama yönetimi yazılımını kullanma fırsatı verir.
Depo topluluğu haberi memnuniyetle karşıladı, Kayıt (yeni sekmede açılır) bildirildi. Birden fazla CTO, teknik mühendis ve tehdit avcısı ile görüştü ve bunların tümü, böyle bir özelliğin GitHub’da yüksek talep gördüğü konusunda hemfikir.