Il private vulnerability reporting di GitHub è disponibile (e sarà molto utile) per tutti
GitHub ha annunciato la general availability del private vulnerability reporting, ossia la possibilità di segnalare privatamente le vulnerabilità relative ai repository pubblici, per tutti i repository appartenenti a un’organizzazione.
La funzionalità potrebbe sembrare banale, ma una volta attivata, permette ai ricercatori di sicurezza di utilizzare un canale di comunicazione dedicato per divulgare privatamente i problemi di sicurezza ai manutentori di un progetto open-source, senza che i dettagli della vulnerabilità vengano diffusi accidentalmente.
Questo canale di collaborazione privato rende più facile per ricercatori e manutentori segnalare e correggere le vulnerabilità sui repository pubblici”, hanno affermato Eric Tooley e Kate Catlin di GitHub.
La funzionalità è stata presentata come opzionale nel novembre 2022, durante l’evento globale per sviluppatori GitHub Universe 2022. Per capirne la portata, basti pensare che dopo la presentazione i manutentori di oltre 30.000 organizzazioni hanno abilitato la segnalazione privata delle vulnerabilità su oltre 180.000 repository, ricevendo più di 1.000 invii da ricercatori di sicurezza.
Come racconta BleepingComputer, è possibile attivare la possibilità di queste segnalazioni direttamente dall’interfaccia GitHub, come mostra questo screenshot:
Esiste una pagina molto dettagliata sul private vulnerability reporting che GitHub ha messo a disposizione degli utenti.
L’utilizzo del private vulnerability reporting consentirà ai maintainer di far sì che tutte le soluzioni, possano essere applicate per tempo prima della pubblicazione della vulnerabilità ed in aggiunta alla scansione dei segreti di cui abbiamo già parlato fa capire quanto la tematica sicurezza sia cara a GitHub ed a tutte le aziende che producono software che gestisce il codice degli sviluppatori.
Certo, nulla impedirà a qualcuno di creare il consueto sensazionalismo che tante volte abbiamo visto in merito alle vulnerabilità, ma la disponibilità di uno strumento simile, in un mondo perfetto, dovrebbe facilitare il lavoro di tutti.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.