GitHub’ın geçen yılın sonlarından beri test edilen özel güvenlik açığı raporlama özelliği artık genel kullanıma sunuldu.
İleriye dönük, açık kaynağın koruyucuları (yeni sekmede açılır) Projeler güvenlik araştırmacılarıyla doğrudan iletişim kurabilecek, güvenlik açıklarının halka ulaşma riski olmadan güvenlik sorunları hakkında bilgi sahibi olacak.
Bakımcılar özelliği geniş ölçekte etkinleştirebilir ve böylece tüm havuzlarını daha iyi koruyabilir. Daha önce, açık kaynaklı proje sahipleri, özelliği yalnızca tek bir havuzda açabiliyordu.
GitHub güvenlik artışı
GitHub’dan Eric Tooley ve Kate Caitlin, özelliği “araştırmacıların ve bakıcıların halka açık depolardaki güvenlik açıklarını bildirmesini ve düzeltmesini kolaylaştıran özel bir işbirliği kanalı” olarak tanımladı.
Şirket bunu ilk olarak Kasım 2022’de tanıttı ve o zamandan beri 30.000’den fazla kuruluşun bakımcıları bu özelliği etkinleştirerek 180.000’den fazla depoyu korudu. Güvenlik araştırmacıları bu süre zarfında 1.000’den fazla başvuruda bulundu.
Platform ayrıca bir dizi yeni entegrasyon ve otomasyon iş akışını destekleyen yeni bir veri havuzu güvenlik danışma API’sini duyurdu. Diğer şeylerin yanı sıra, “bakımcılar özel güvenlik açığı raporlarını GitHub’dan üçüncü taraf güvenlik açığı yönetim sistemlerine aktarabilir”, “güvenlik araştırmacıları da API’yi kullanarak birden fazla havuzda özel bir güvenlik açığı raporunu programlı olarak açabilir.”
Son olarak, bakımcılar ve güvenlik araştırmacıları, yeni güvenlik açığı raporlarının bildirimleri için otomatik pingler planlayabilir.
Tedarik zinciri siber saldırıları bu günlerde oldukça popüler hale geldi ve GitHub’ı en popüler saldırı vektörlerinden biri haline getirdi. Tehdit aktörleri, muhtemelen aynı anda yüzlerce projeye dağıtarak kötü amaçlı kodu gizlemek için platformu kötüye kullanır. Bu nedenle GitHub gibi açık kaynak kod havuzlarının korunması, dijital operasyonlarını ölçeklendiren küçük ve orta ölçekli işletmeler için gerekli hale geldi.
