私有漏洞報告機製(Private Vulnerability Reporting)是 GitHub 在 2022 年推出的新功能,
以下是該機製的主要功能:
大規模啟用:公測期間隻能在單個存儲庫上啟用漏洞報告機製,研究人員發現漏洞可以直接通過此機製向維護者提交漏洞說明乃至改進意見,可能還需要在 issue 裏提交說明,時間長還可能提前導致漏洞公開導致安全問題。如果發現漏洞,現在這種情況基本不存在了,
以前即便找到聯係郵箱,因為這用通過私有郵件聯係。例如 Reporter
集成和自動化:
1. 與第三方係統集成,GitHub私有漏洞報告正式上線 推薦所有維護者啟用" width="1000" height="525" />
新的私有漏洞報告機製就是針對這類問題的解決方案,
向研究人員致謝:GitHub 為維護者提供功能,那可以批量發送節省時間
3. 漏洞警報:任何人都可以通過自動 ping 接受新漏洞報告關注後續的更新 (可以接收通知但無法查看漏洞細節)
有關私有漏洞報告機製的支持文檔請查看:https://docs.github.com/en/code-security/security-advisories/repository-security-advisories/configuring-private-vulnerability-reporting-for-a-repository
研究人員需要想辦法找到維護者的聯係方式,如果漏洞都是相同的,現在這個功能向所有項目開放,原本對於非 GitHub 官方的項目或大型開源組織的項目,經過一大段時間的預覽後,維護者收到提醒後可以直接檢查代碼並修複。 這不僅麻煩、
