کمیته رکن چهارم – شرکت گیتهاب شرایطی را فراهم کرده است تا کارشناسان امنیت سایبری به صورت خصوصی آسیبپذیریها در ریپازیتوریهای عمومی را گزارش دهند و امکان سوء استفاده هکرها از آسیبپذیریها را متوقف کنند.
به نقل از Infosecurity، گیتهاب (GitHub)، شرکت تأمین هاست کدنویسی از یک کانال مستقیم جدید مخصوص محققان امنیتی برای گزارش آسیبپذیریها در ریپازیتوریهای عمومی رونمایی کرده است.
این ویژگی باید به صورت دستی توسط نگهبانان ریپازیتوری فعال شود و پس از فعال شدن، محققان امنیتی را قادر میسازد هر گونه آسیبپذیری شناسایی شده در کد خود را گزارش کنند.
این شرکت زیرمجموعه مایکروسافت در یک پست وبلاگی نوشت: صاحبان و مدیران ریپازیتوریهای عمومی میتوانند به محققان امنیتی اجازه دهند تا با فعال کردن گزارش آسیبپذیری خصوصی، آسیبپذیریها را به طور ایمن در ریپازیتوری گزارش دهند.
به گفته این شرکت، محققان امنیتی اغلب مسئول هشدار دادن به کاربران در مورد آسیبپذیریهایی هستند که میتوانند مورد سوء استفاده قرار گیرند. با این حال، در نبود دستورالعملهای واضح در مورد تماس با نگهبانان ریپازیتوری حاوی آسیبپذیری، محققان ممکن است مجبور شوند آسیبپذیری را در رسانههای اجتماعی افشا کنند یا پیامهای مستقیمی را برای نگهدارنده ارسال کنند که میتواند منجر به افشای عمومی جزئیات نقص شود.
جان بامبنک، یک محقق امنیتی در Netenrich، با اشاره به سیستم قبلی افشای آسیبپذیریها در گیتهاب گفت: رفتار پیشفرض در گیتهاب برای گزارش مشکلات، استفاده از عملکرد مسائل (یا احتمالاً یک درخواست git) است. هر دو عملکرد عمومی هستند که به مهاجمان اجازه میدهد از وجود مشکل مطلع شوند و میتوانند از گزارش اولیه برای اطلاعرسانی بیشتر در مورد هدفگیری خود استفاده کنند. مهاجمان همچنان پنجره ای بین زمانی که یک پچ در دسترس است و زمانی که به طور جهانی اعمال میشود، دارند. ما نیازی نداریم که به آنها زمان بیشتری بدهیم.
بنابراین، ویژگی جدید به گونهای طراحی شده است که گزارشدهی مستقیم آسیبپذیریها را با استفاده از یک فرم ساده برای محققان امنیتی آسانتر کند.
کیسی الیس، بنیانگذار و مدیر ارشد فناوری در Bugcrowd گفت: این مسئله گیتهاب را تکامل میبخشد، نه فقط برای ایجاد یک گردش کار برای تسهیل افشای آسیبپذیری، بلکه مهمتر از آن، برای عادی سازی اهمیت بازخورد امنیتی از دنیای خارج برای نگهبانان و توسعه دهندگان F/OSS.»
پس از دریافت هشدار آسیبپذیری، محققان امنیتی میتوانند آن را بپذیرند، سؤالات بیشتری بپرسند یا آن را رد کنند. اگر تصمیم بگیرند آن را بپذیرند، سپس میتوانند با فردی که آسیبپذیری را کشف کرده است، همکاری کنند.
قابلیت گزارش آسیبپذیری خصوصی چند هفته پس از کشف نقصی در گیتهاب توسط Checkmarx ارائه میشود که ظاهراً میتوانست مهاجمان را قادر به کنترل ریپازیتوریها و انتشار بدافزار به برنامهها و کدهای مرتبط کند.
منبع: Infosecurity