La fonctionnalité de rapport de vulnérabilité privée de GitHub, qui a été testée depuis la fin de l’année dernière, est désormais disponible pour tous.
À l’avenir, les responsables de l’open source (s’ouvre dans un nouvel onglet) les projets pourront communiquer directement avec les chercheurs en sécurité, en étant informés des problèmes de sécurité sans risquer que des vulnérabilités soient rendues publiques.
Les mainteneurs peuvent activer la fonctionnalité à grande échelle et ainsi mieux protéger tous leurs référentiels. Auparavant, les mainteneurs de projets open source ne pouvaient activer la fonctionnalité que sur un seul référentiel.
Amélioration de la sécurité de GitHub
Eric Tooley et Kate Caitlin de GitHub ont décrit la fonctionnalité comme « un canal de collaboration privé qui permet aux chercheurs et aux mainteneurs de signaler et de corriger plus facilement les vulnérabilités sur les référentiels publics ».
La société l’a introduite pour la première fois en novembre 2022 et depuis lors, les responsables de plus de 30 000 organisations ont activé la fonctionnalité, protégeant plus de 180 000 référentiels. Les chercheurs en sécurité ont fait plus de 1 000 soumissions pendant cette période.
La plate-forme a également annoncé une nouvelle API d’avis de sécurité du référentiel qui prend en charge un certain nombre de nouveaux workflows d’intégration et d’automatisation. Entre autres choses, « les responsables peuvent diriger les rapports de vulnérabilité privés de GitHub vers des systèmes de gestion des vulnérabilités tiers », tandis que « les chercheurs en sécurité peuvent également utiliser l’API pour ouvrir par programme un rapport de vulnérabilité privé sur plusieurs référentiels ».
Enfin, les mainteneurs et les chercheurs en sécurité peuvent programmer des pings automatiques pour les notifications de nouveaux rapports de vulnérabilité.
Les cyberattaques de la chaîne d’approvisionnement sont devenues très populaires ces jours-ci, faisant de GitHub l’un des vecteurs d’attaque les plus populaires. Les acteurs de la menace abuseraient de la plate-forme pour cacher le code malveillant, le distribuant éventuellement à des centaines de projets à la fois. Par conséquent, la protection des référentiels de code open source tels que GitHub est devenue essentielle pour les petites et moyennes entreprises à mesure qu’elles font évoluer leurs opérations numériques.