GitHub libera para todos recurso que melhora correção de vulnerabilidades

O GitHub anuncia nesta semana a liberação dos relatórios privados de vulnerabilidade para todos os usuários da plataforma de desenvolvimento colaborativa. Isso pode facilitar aos participantes o compartilhamento e a correção de vulnerabilidades em repositórios públicos de programação.

• GitHub libera alertas de vazamentos de credenciais para todos
• GitHub atinge 100 milhões de desenvolvedores ativos na plataforma

A padronização de relato e correção de vulnerabilidades em projetos de código aberto em um canal seguro é uma das carências no setor, e, com a novidade, o GitHub espera que a iniciativa ajude a diminuir os casos de softwares que são finalizados com brechas sem solução e/ou de vazarem publicamente antes de as correções estarem prontas.

A versão beta pública do relatório privado de vulnerabilidade havia sido anunciado no evento GitHub Universe 2022, em novembro do ano passado, para testar uma solução para esses problemas e obter feedback de mantenedores e pesquisadores de segurança. Desde então, os colaboradores de mais de 30 mil organizações habilitaram a ferramenta em mais de 180 mil repositórios, recebendo mais de 1 mil envios de participantes.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Atualizações dos relatórios de vulnerabilidade do GitHub para pesquisadores de segurança

Graças ao feedback da comunidade open source desde a fase beta da ferramenta, o GitHub destaca que foram implementadas várias melhorias para a disponibilidade geral de relatórios privados de vulnerabilidade, entre elas:

• Ativação em escala: durante a versão beta pública, os relatórios privados de vulnerabilidade só podiam ser ativados em repositórios individuais. Agora, os mantenedores podem habilitar relatórios privados de vulnerabilidade em todos os repositórios de sua organização;
• Múltiplos tipos de crédito: os mantenedores podem escolher como creditar aqueles que encontram e contribuem para vulnerabilidades e remediação;
• Integração e automação: uma nova API de recomendações de segurança de repositório oferece suporte a vários novos fluxos de trabalho de integração e automação;
• Integração com sistemas de terceiros: os mantenedores podem canalizar relatórios privados de vulnerabilidade do GitHub para sistemas de gerenciamento de vulnerabilidade de terceiros;
• Envios automatizados: os pesquisadores de segurança também podem usar a API para programar a abertura de um relatório privado de vulnerabilidade em vários repositórios, uma conveniência que economiza tempo quando os pacotes compartilham uma vulnerabilidade comum;
• Alertas de vulnerabilidade: qualquer pessoa pode ficar de olho nos repositórios críticos agendando pings automáticos para notificações de novos relatórios de vulnerabilidade.

Além disso, o relatório privado de vulnerabilidade, juntamente com o restante dos recursos de segurança do GitHub, como o alerta de brechas Dependabot, a verificação de código e o escaneamento de credenciais, é gratuito para repositórios públicos.