GitHub now allows enabling private vulnerability reporting at scale
2023/04/22 BleepingComputer — GitHub の発表は、プライベート脆弱性レポートを誰もが利用できるようになり、組織に属する全リポジトリで大規模に有効化することも可能になったというものだ。この機能を有効化すると、専用のコミュニケーション・チャネルを使用するセキュリティ研究者たちは、誤って脆弱性の詳細を漏らすことなく、オープンソース・プロジェクトのメンテナに対して、セキュリティ問題を非公開で開示することが可能になる。GitHub の Eric Tooley と Kate Catlin は、「研究者やメンテナが、公開リポジトリ上の脆弱性を報告し、修正することを容易にする、プライベートなコラボレーション・チャネル」だと述べている。
GitHub は、「2022年11月に開催された、グローバル・デベロッパー・イベント GitHub Universe 2022 において、オプトイン機能として導入された。それ以来、30,000 以上の組織のメンテナが 180k 以上のリポジトリで、このプライベート脆弱性報告を有効化し、セキュリティ研究者たちから 1000件以上の報告を受けている」と述べている。
組織のリポジトリ全体で簡単に有効化できる
パブリック・ベータ・テストの期間中において、メンテナと所有者だけが単一のリポジトリに対して、この非公開の脆弱性を報告するオプションを有効化できていた。しかし、今週からは、組織内の全リポジトリで、このダイレクトなバグ報告チャネルを有効化できるようになった。
さらに GitHub は、新しいリポジトリ・セキュリティ・アドバイザリー API による統合と、自動化のサポートを追加した。それにより、サードパーティの脆弱性管理システムへ向けたプライベート・レポートの送信や、セキュリティ上の欠陥を共有する複数のリポジトリへ向けた共通レポートの送信が可能になる。
また、新しいパブリック・リポジトリの全プライベート・バグレポートが自動的に有効化されるように設定することも可能だ。
この機能は、Private Vulnerability Reporting の次にある、Code Security and Analysis で Enable All ボタンをクリックすることで有効化される。
公開リポジトリの所有者や管理者は、プライベートな脆弱性報告を切り替えることで、バグが解決されたプラットフォームでレポートを受け取り、すべての詳細について研究者と話し合い、パッチ作成のための共同作業を安全に進められるようになる。
セキュリティ研究者は GitHub のリポジトリ名の下にある Security タブから、左サイドバーの Reporting > Advisories の下にある ‘Report a vulnerability’ をクリックして、直接プライベートなセキュリティレポートを提出できる。
この機能を有効化したセキュリティ研究者は、左側サイドバーの Reporting > Advisories の下にある “Report a vulnerability” をクリックして、リポジトリ名の下の Security タブから GitHub に対して、プライベート・セキュリティ・レポートをダイレクトに送信できる。
また、プライベートなバグレポートは、このドキュメント・ページに記載されているパラメータを用いて、GitHub REST API 経由で送信することも可能だ。
先月にも GitHub は、Secret Scanning Alerts サービスが、すべてのパブリック・リポジトリで一般的に利用できるようになったことを発表している。
頑張る GitHub です。文末に記されているように、2023/03/01 の「GitHub のシークレット・スキャン・アラートが正式運用:誰もが犯す間違いを自動的にチェック」で、新たなサービスを発表しています。また、2023/04/06 の「GitHub が SBOM エクスポートをサポート:ソフトウェア要件への対応を容易にする」では、SBOM へのコミットを明らかにしています。よろしければ、GitHub で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.