Manter o sigilo pode ser uma boa maneira para lidar com problemas de vulnerabilidade de softwares. Bom, pelo menos é isso que acha o GitHub, já que decidiu ocultar os relatórios de falhas de código.

GitHub oculta visualização pública de vulnerabilidades

Qualquer pessoa com permissões de administrador para um repositório público pode habilitar e desabilitar relatórios de vulnerabilidade privados para o repositório. O Github acaba de divulgar seu plano de fornecer aos pesquisadores de segurança uma maneira de relatar vulnerabilidades aos proprietários de repositórios públicos de forma privada.

Recompensas de bugs e a equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) já fazem relatórios privados fora do mundo de código aberto. Não há repositório de problemas para Microsoft ou Apple. Do ponto de vista da segurança, isso faz muito sentido, de acordo com John Bambenek, principal caçador de ameaças da Netenrich, uma empresa SaaS de análise de segurança e operações.

Casey Ellis, fundador e CTO da empresa de segurança cibernética de crowdsourcing Bugcrowd, observou que o plano normaliza a importância do feedback de segurança do mundo exterior para os mantenedores e desenvolvedores do FOSS. Existe a necessidade de uma melhor colaboração entre pesquisadores de segurança e fornecedores de software, acrescentou Andrew Barratt, vice-presidente da Coalfire, fornecedora de serviços de consultoria em segurança cibernética.

Barratt disse ao Linux Insider que,

Se a comunidade de código aberto puder resolver mais rapidamente as vulnerabilidades sem a cultura do nome e da vergonha – e sem maus atores criando código de exploração [sem fazer a pesquisa] – será um passo significativo que outros produtos de recompra de código também devem oferecer suporte.

Outros especialistas em segurança cibernética disseram ao Linux Insider que concordam com a nova política do GitHub. Oferecer aos pesquisadores uma maneira de relatar problemas diretamente aos desenvolvedores no GitHub é uma adição bem-vinda, elogiou Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, um provedor de SaaS para correção de riscos cibernéticos corporativos.

Relatórios do GitHub

O método padrão de relatório do GitHub usa a funcionalidade de problemas — ou potencialmente uma solicitação git. Ambos são públicos, permitindo que os invasores saibam que há um problema, de acordo com Bambenek da Netenrich.

Eles podem usar a idade do relatório inicial para informar melhor sua segmentação. Os invasores ainda têm a janela entre quando um patch está disponível e quando ele é aplicado universalmente. Não precisamos dar-lhes ainda mais tempo.

A decisão do GitHub pode gerar controvérsias, mas pode ser uma maneira de dar mais segurança aos usuários. O tempo dirá se a decisão foi acertiva.

O post GitHub oculta relatórios de falhas de código apareceu primeiro em SempreUpdate.