GitHub permet aux développeurs d’informer leurs pairs des vulnérabilités découvertes – discrètement. La société affirme que cela évitera le jeu du «nom et de la honte» et empêchera les exploitations qui pourraient résulter de la divulgation publique.
Dans un article de blog (s’ouvre dans un nouvel onglet) plus tôt cette semaine, GitHub a déclaré qu’étant donné la configuration actuelle de la plate-forme, il n’y a parfois pas d’autre choix que de divulguer publiquement une vulnérabilité – et avant que le logiciel de suppression des logiciels malveillants ne puisse être déployé – alertant les acteurs potentiels de la menace.
« Les chercheurs en sécurité se sentent souvent responsables d’alerter les utilisateurs d’une vulnérabilité qui pourrait être exploitée », lit-on sur le blog. « S’il n’y a pas d’instructions claires pour contacter les responsables du référentiel contenant la vulnérabilité. Cela peut potentiellement conduire à une divulgation publique des détails de la vulnérabilité.
Rapport de vulnérabilité privé
Pour résoudre le problème, GitHub a maintenant introduit le rapport de vulnérabilité privé – essentiellement un simple formulaire de rapport.
Lorsqu’un développeur essaie de contacter le mainteneur de la vulnérabilité affectée via un rapport de vulnérabilité privé, ce dernier peut choisir de l’accepter, de poser plus de questions ou de le rejeter.
« Si vous acceptez le rapport, vous êtes prêt à collaborer sur un correctif pour la vulnérabilité en privé avec le chercheur en sécurité », explique le message.
La plate-forme appartenant à Microsoft espère également que cette méthode de divulgation rationalisera les efforts de dépannage, puisque les rapports sont traités en un seul endroit. De plus, cela donne aux responsables de la maintenance la possibilité de discuter des détails de la vulnérabilité en privé avec des chercheurs en sécurité et, en fin de compte, d’utiliser un logiciel de gestion des correctifs pour collaborer sur un correctif.
La communauté du référentiel a bien accueilli la nouvelle, Le registre (s’ouvre dans un nouvel onglet) signalé. Il s’est entretenu avec plusieurs CTO, ingénieurs techniques et chasseurs de menaces, qui s’accordent tous à dire qu’une telle fonctionnalité était très demandée sur GitHub.