GitHub でプライベートな脆弱性レポートを大規模に有効化できるようになりました

GitHub は、プライベートな脆弱性レポートが一般に利用可能になり、組織に属するすべてのリポジトリで大規模に有効にできることを発表しました。

オンにすると、セキュリティ研究者はこの専用通信チャネルを使用して、脆弱性の詳細を誤って漏らすことなく、セキュリティの問題をオープンソースプロジェクトのメンテナーに非公開で開示できます。

これは、「研究者やメンテナーがパブリックリポジトリの脆弱性を簡単に報告して修正できるようにするプライベートコラボレーションチャネルです」と GitHub の Eric Tooley 氏と Kate Catlin 氏は述べています。

2022 年 11 月にGitHub Universe 2022グローバル開発者イベント中にオプトイン機能として導入されて以来、「3 万を超える組織のメンテナーが 18 万を超えるリポジトリでプライベートな脆弱性レポートを有効にし、セキュリティ研究者から 1,000 を超える提出を受けています。」

組織のリポジトリ全体で簡単に有効化

パブリックベータテストフェーズでは、プライベートな脆弱性を報告するオプションは、メンテナーとリポジトリの所有者のみが単一のリポジトリでのみアクティブ化できました。

今週から、組織内のすべてのリポジトリに対してこの直接バグ報告チャネルを有効にできるようになりました。

GitHub は、サードパーティの脆弱性管理システムに非公開レポートを送信し、セキュリティ上の欠陥を共有する複数のリポジトリに同じレポートを送信できる、新しいリポジトリセキュリティアドバイザリ APIによる統合と自動化のサポートも追加しました。

また、すべての新しいパブリックリポジトリでプライベートバグレポートが自動的に有効になるように構成することもできます。

この機能は、[プライベートな脆弱性レポート] オプションの横にある [すべて有効にする] ボタンをクリックして、[コードのセキュリティと分析] の下で有効にすることができます。

有効にすると、セキュリティ研究者は、左側のサイドバーの [レポート] > [アドバイザリ] の下にある [脆弱性の報告] をクリックして、リポジトリ名の下の [セキュリティ] タブから GitHub にプライベートセキュリティレポートを直接送信できます。

このドキュメンテーションページで説明されているパラメータを使用して、GitHub REST API 経由で非公開のバグレポートを送信することもできます。