GitHub activa canal privado de detecção de vulnerabilidades para todos

O GitHub passa a deixar que qualquer entidade active o private vulnerability reporting para os seus repositórios, facilitando a comunicação com investigadores de segurança.

A segurança é um aspecto que não se pode descurar, mas por vezes revela-se complicado para um investigador de segurança, que tenha descoberto uma vulnerabilidade, comunicar com as pessoas responsáveis.

Este sistema do GitHub foi disponibilizado de forma limitada durante a fase beta, mas passa a estar disponível para todos, podendo ser activado apenas para repositórios seleccionados. Quando activado, cria um canal directo que os investigadores de segurança poderão utilizar para reportar vulnerabilidades, sem preocupação de que um anúncio público pudesse ceder detalhes que grupos de hackers pudessem explorar para criar um ataque.

O sistema também permite a integração destes relatórios e comunicações com sistemas externos de gestão de vulnerabilidades, ou de submissão de um mesmo relatório para múltiplos repositórios que partilhem uma mesma vulnerabilidade. Há até a possibilidade de quem reporta a falha poder sugerir a correcção a implementar, o que agilizará ainda mais o processo.


Para os repositórios com o private vulnerability reporting activado, o envio de uma vulnerabilidade pode ser feita na tab de segurança, Reporting > Advisories, Report a vulnerability.