GitHub laat beveiligingsonderzoekers privé bugs in externe repo's melden

GitHub maakt het mogelijk voor beveiligingsonderzoekers om privé kwetsbaarheden te melden aan beheerders van repositories. Dat was al mogelijk in bèta, maar nu wordt dat breed beschikbaar voor 30.000 organisaties die samen meer dan 180.000 repo's beheren.

GitHub schrijft in een blogpost dat het de private vulnerability reporting algemeen beschikbaar maakt. Met die optie kunnen externe beveiligingsonderzoekers makkelijk contact opnemen met beheerders van een repository als ze daar kwetsbaarheden in vinden. Beheerders kunnen die feature aanzetten voor hun repo's, waardoor onderzoekers privé contact kunnen leggen met de juiste persoon zonder eerst naar de website van een bedrijf of instantie op zoek te moeten naar een contactpersoon of -e-mailadres. GitHub kondigde de feature in november van vorig jaar aan tijdens zijn ontwikkelaarsconferentie GitHub Universe. Nu kunnen alle repobeheerders de functie inschakelen via het Code security and analysis-instellingenmenu. Het gaat om een opt-in.

Volgens GitHub zijn er inmiddels 30.000 organisaties die privémeldingen voor kwetsbaarheden mogelijk hebben gemaakt. Dat zou gelden voor meer dan 180.000 repositories, die gezamenlijk voor meer dan duizend meldingen hebben gezorgd.

GitHub voegt direct ook enkele nieuwe aspecten aan die functionaliteit toe. Zo kunnen de meldingen nu worden ingeschakeld voor alle repo's binnen een organisatie; tijdens de bètaperiode kon dat alleen nog voor individuele repo's. Ook komen er verschillende api's beschikbaar, waaronder een die het mogelijk maakt een privémelding ook via thirdpartyplatformen door te voeren. Daarnaast kunnen beveiligingsonderzoekers een kwetsbaarheid geautomatiseerd melden in alle beschikbare repo's waar die bug voorkomt.

GitHub private vulnerability disclosure

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 24-04-2023 20:53 11

24-04-2023 • 20:53

11

Lees meer

GitHub keerde in 2022 ruim 1,5 miljoen dollar uit aan bugbounty's
GitHub keerde in 2022 ruim 1,5 miljoen dollar uit aan bugbounty's Nieuws van 18 augustus 2023
GitHub maakt nieuwe codezoekmachine op basis van Rust algemeen beschikbaar
GitHub maakt nieuwe codezoekmachine op basis van Rust algemeen beschikbaar Nieuws van 9 mei 2023
Amazon maakt CoPilot-alternatief CodeWhisperer voor AWS breed beschikbaar
Amazon maakt CoPilot-alternatief CodeWhisperer voor AWS breed beschikbaar Nieuws van 13 april 2023
GitHub roteert ssh-sleutel nadat private key per ongeluk openbaar verscheen
GitHub roteert ssh-sleutel nadat private key per ongeluk openbaar verscheen Nieuws van 24 maart 2023
GitHub Copilot krijgt chatbot op basis van GPT-4 die helpt bij schrijven code
GitHub Copilot krijgt chatbot op basis van GPT-4 die helpt bij schrijven code Nieuws van 22 maart 2023
GitHub ontslaat 10 procent van personeelsbestand
GitHub ontslaat 10 procent van personeelsbestand Nieuws van 10 februari 2023
GitLab ontslaat 7 procent van personeelsbestand
GitLab ontslaat 7 procent van personeelsbestand Nieuws van 9 februari 2023
Meer producten en artikelen
Beveiliging en antivirus Github

Reacties (11)

-Moderatie-faq
11
9
8
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
i-chat 24 april 2023 21:02
wat zou het toch geweldig zijn als die 'beveiligingswaarschuwingen' dan ook direct zichtbaar zijn voor 'forks' en vooral ook voor projecten die die code in hun project hebben opgenomen.

neem nu code zoals bepaalde liberaries zoals lib_ssl
laurxp @i-chat24 april 2023 21:53
Dat kan op Github al met Dependabot. Dat geeft automatisch een waarschuwing als er een bekend beveiligingsprobleem is in één van je dependencies.

Als je forkt of de code kopieert naar jouw repo in plaats van het fatsoenlijk als dependency in te stellen, ben je uiteraard zelf verantwoordelijk voor eventuele issues.
Anonymoussaurus @laurxp24 april 2023 21:57
Niet alleen een waarschuwing: je kan ook een workflow configureren zodat Dependabot automatisch pull requests aanmaakt, zodat je dependencies geüpdatet worden.
CH4OS @laurxp24 april 2023 22:17
Als je forkt of de code kopieert naar jouw repo in plaats van het fatsoenlijk als dependency in te stellen, ben je uiteraard zelf verantwoordelijk voor eventuele issues.
Het is niet dat als je forked, dat je dan niet meer code van elkaar kan hergebruiken. Daar kun je met een pull request alsnog aan komen hoor. Goed reviewen en merge conflicten controleren, dat wel naturulijk. ;) Maar bij dependancies is het risico daarop wel een stuk kleiner natuurlijk.

[Reactie gewijzigd door CH4OS op 25 juli 2024 23:32]

Jelmer @i-chat24 april 2023 21:06
Maar dan ondermijn je het idee van private. Een geïnteresseerde in vulnerabilities zou dan van diverse projecten een fork kunnen maken en zo als eerste op de hoogte te zijn.
kuurtjes @Jelmer25 april 2023 00:34
Ik dacht juist hetzelfde.

Forks moeten gewoon wachten op de nieuwe versie. Je wilt juist dat zo weinig mogelijk mensen er van weten.
Tubby @i-chat24 april 2023 21:28
Jeej, over het algemeen wil je externe libraries niet direct als code includen in jouw project maar via een artifact (compiled / packaged variant van dat project)

En dat is er al met dependency scanning van owasp of tools zoals snyk
djvdorp 25 april 2023 09:31
Het lijkt mij uitdagend om dit goed te bouwen en alle implicaties vooraf uit te denken, zeker icm eventuele project forks.
WhatsappHack
24 april 2023 22:55
Het is alleen weer wat belabberd geregeld met permissions.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq