GitHub nie chce już gry "wskaż i zawstydź". Wykrywanie luk wskażemy tylko po cichu

GitHub pozwala programistom na powiadamianie innych o wykrytych lukach w zabezpieczeniach. Do tej pory można to było robić publicznie. Teraz ma się to zmienić.

Znalazłeś błąd? Podziel się, ale po cichu / Fot. Materiały własne

Znalazłeś błąd? Podziel się, ale po cichu / Fot. Materiały własne

GitHub twierdzi, że informowanie o wykrytych lukach po cichu zapewni dwie korzyści. Po pierwsze, zniknie gra "wskaż i zawstydź", czyli publiczne informowanie o tym, że ktoś nie dopilnował albo źle rozwiązał kwestie zabezpieczeń. Po drugie, informacje będą ukryte, co sprawi, że nie wykorzysta ich żaden cyberprzestępca.

W poście na blogu GitHub wyjaśnił, że wziął pod uwagę sposób, w jaki platforma jest obecnie skonfigurowana. Czasami nie ma innej opcji niż publiczne ujawnienie danej luki, zanim oprogramowanie do usuwania malware'u zdąży sobie z nią poradzić. Firma informuje, że badacze ds. bezpieczeństwa często czują się odpowiedzialni za ostrzeganie użytkowników o lukach tak szybko, jak to możliwe, a nierzadko nie ma jasnych instrukcji o tym, jak kontaktować się z opiekunem repozytorium zawierającego lukę. To może prowadzić do publicznego ujawniania szczegółów o problemach z zabezpieczeniami.

Zobacz również:

  • GitHub oferuje deweloperom nowe możliwości
  • Dynamic Island - dzięki Apple programiści mają więcej pracy

GitHub chce zatroszczyć się o lepsze bezpieczeństwo innych

Gry programista próbuje skontaktować się z opiekunem repozytorium, którego dotyczy luka, będzie mógł to teraz zrobić za pomocą funkcji "Private vulnerability reporting". Odbiorca wiadomości będzie mógł następnie zaakceptować zgłoszenie, zadać więcej pytań, albo je odrzucić.

Jeśli je zaakceptujemy, będziemy mogli współpracować z odpowiednim specjalistą, albo przynajmniej nawiązać kontakt i poprosić o trochę szczegółów.

GitHub to platforma należąca obecnie do Microsoftu. Jej zespół wierzy, że nowa metoda ujawniania informacji o lukach w zabezpieczeniach usprawni rozwiązywanie problemów w sieci. Ponadto opiekun danego repozytorium zyska możliwość wygodnego omówienia szczegółów z osobą, która wykryła problem, co często też było niemożliwe.

Póki co społeczność GitHub z zadowoleniem przyjęła tę wiadomość. Serwis rozmawiał również z wieloma CTO, inżynierami technicznymi i "łowcami cyberzagrożeń", i wszyscy zgadzają się, że taka opcja jest bardzo potrzebna i mile widziane.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200