GitHub提供研究人員通報公開儲存庫漏洞的私下管道

GitHub上周公布一項功能，讓外界安全研究人員能直接通報公開儲存庫漏洞。

這項功能讓公開儲存庫的主持人及管理者允許安全研究人員循私下通報管道、通知他們儲存庫的漏洞。任何人獲得這些管理員許可都可以啟動（或關閉）通報。

安全研究人員經常認為有必要通知用戶有可能被濫用的漏洞，但若沒有聯繫儲存庫管理員及維護單位的清楚指示，他們往往只能在社群媒體貼文、私訊管理員甚至建立公開issue。但這類作法可能導致漏洞細節被公開。

因此GitHub將提供私下漏洞通報的管道，可讓安全研究人員以簡單表格形式，更容易直接通報管理員。外界安全研究人員通報漏洞時，管理員會獲得通知，他們可選擇要不要接受、或是問更多問題。他們若接受通報，也會啟動和研究人員合作修補漏洞的過程。

GitHub表示，對儲存庫管理人員來說，使用私下漏洞通報的好處很多，像是降低被公開聯繫，或是外人以他們不希望的途徑聯繫的風險，而且管理員可以在同一平臺上接獲通報、討論、解決漏洞，比較單純，也在同一平臺上和外部研究人員討論修補程式。研究人員也能代表管理員建立或發出安全公告。更重要的是，漏洞細節比較不會洩露出去。

管理員設定方式如下。在GitHub.com上，從儲存庫主頁的儲存庫名稱下，點選「設定」進入。接著，他們可在側邊選單的「安全」區，點選「程式碼安全及分析」，然後在右邊的「私下漏洞通報」區，點選「開啟」或「關閉」通報功能。

圖片來源／GitHub

管理員啟動私下安全通報後，研究人員在儲存庫的「公告」（Advisories）頁看見一個新按鈕。他們按下此鍵即可啟動通報。

圖片來源／GitHub