GitHub 推出全新漏洞报告沟通渠道

关键要点

GitHub 作为全球最大的开源软件开发社区，近期在平台上推出了一种全新的沟通渠道，以简化安全研究人员向项目维护者报告漏洞的流程。

传统上，漏洞报告一直是一个复杂的过程。尽管研究人员通常会觉得有责任告知用户可能被利用的错误，但联系项目维护者的具体指引却并不明确。此外，许多开源项目都是由志愿者团队管理，他们在闲暇时间修复有问题的代码。

这一功能在 GitHub Universe 2022 全球开发者大会上宣布，旨在让研究人员能够直接且私密地向维护者报告漏洞。

“私密漏洞报告是一个协作性解决方案，让安全研究人员和开源维护者能够共同报告和修复开源库中的漏洞。它提供了一种便捷、标准化且保密的方式来报告、评估和处理漏洞，”GitHub
CEO Thomas Dohmke 在一篇表示。

GitHub 产品管理总监 Justin Hutchings 向 SC媒体表示，以前由于难以找到正确的联系信息，安全研究人员常常在社交媒体上公开报告漏洞，甚至创建公共问题，这可能导致漏洞细节被泄露。

“当漏洞信息以公开方式披露时，维护者没有时间在恶意行为者有可能得知之前修复问题，”Hutchings 解释道。

利用这一新功能，当研究人员报告一个问题时，维护者将在平台上收到通知，他们可以选择接受、提出更多问题或拒绝。这使得维护者能更好地控制漏洞详细信息的沟通方式，从而减少了通过公众或不当渠道联系维护者的情况。GitHub也认为，这将使得漏洞在修复前被公开的概率降低。

根据 Hutchings 的说法，私密漏洞报告是免费的，任何人现在都可以注册参加公共 Beta 版，团队计划在 2023 年初全面推出。

Synopsys 的首席安全策略师 Tim Mackey表示这一新功能具有很大的潜力。他指出，尽管大型组织通常会为研究人员提供负责任报告漏洞的渠道，但是开源项目，尤其是小型开源项目，往往缺乏足够的资源来妥善管理接收、响应并处理安全报告的流程，并且做到保密。

“看到 GitHub 迈出这一步，真是太好了。让开源贡献者能轻松、安心地支持他们的项目，将帮助我们所有人朝着更高的安全标准迈进，”Checkmarx
供应链安全负责人 Tzachi Zornstain 补充道。

尽管良好的沟通渠道提高了在漏洞披露过程中的积极结果可能性，但 Endor Labs 的首席产品经理 Jamie Scott提醒道，这也要求开源社区在伦理责任上更加严格。

Scott表示，GitHub 通过收集平台上的漏洞，成为了“一个仲裁者”和“拥有大量安全信息的持有者”。“这意味着 GitHub需要认真对待保护信息的伦理责任，”他在邮件中对 SC 媒体说。

此外，Scott 还提到，社区应该在漏洞若没有采取行动时，应当标准化公开披露的时间框架。