پنجشنبه ۹ فروردين ۱۴۰۳ , 28 Mar 2024
جالب است ۰
شرکت گیت‌هاب شرایطی را فراهم کرده است تا کارشناسان امنیت سایبری به صورت خصوصی آسیب‌پذیری‌ها در ریپازیتوری‌های عمومی را گزارش دهند و امکان سوء استفاده هکرها از آسیب‌پذیری‌ها را متوقف کنند.
اختصاصی افتانا: شرکت گیت‌هاب شرایطی را فراهم کرده است تا کارشناسان امنیت سایبری به صورت خصوصی آسیب‌پذیری‌ها در ریپازیتوری‌های عمومی را گزارش دهند و امکان سوء استفاده هکرها از آسیب‌پذیری‌ها را متوقف کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Infosecurity، گیت‌هاب (GitHub)، شرکت تأمین هاست کدنویسی از یک کانال مستقیم جدید مخصوص محققان امنیتی برای گزارش آسیب‌پذیری‌ها در ریپازیتوری‌های عمومی رونمایی کرده است.

این ویژگی باید به صورت دستی توسط نگهبانان ریپازیتوری فعال شود و پس از فعال شدن، محققان امنیتی را قادر می‌سازد هر گونه آسیب‌پذیری شناسایی شده در کد خود را گزارش کنند.

این شرکت زیرمجموعه مایکروسافت در یک پست وبلاگی نوشت: صاحبان و مدیران ریپازیتوری‌های عمومی می‌توانند به محققان امنیتی اجازه دهند تا با فعال کردن گزارش آسیب‌پذیری خصوصی، آسیب‌پذیری‌ها را به طور ایمن در ریپازیتوری گزارش دهند.

به گفته این شرکت، محققان امنیتی اغلب مسئول هشدار دادن به کاربران در مورد آسیب‌پذیری‌هایی هستند که می‌توانند مورد سوء استفاده قرار گیرند. با این حال، در نبود دستورالعمل‌های واضح در مورد تماس با نگهبانان ریپازیتوری حاوی آسیب‌پذیری، محققان ممکن است مجبور شوند آسیب‌پذیری را در رسانه‌های اجتماعی افشا کنند یا پیام‌های مستقیمی را برای نگهدارنده ارسال کنند که می‌تواند منجر به افشای عمومی جزئیات نقص شود.

جان بامبنک، یک محقق امنیتی در Netenrich، با اشاره به سیستم قبلی افشای آسیب‌پذیری‌ها در گیت‌هاب گفت: رفتار پیش‌فرض در گیت‌هاب برای گزارش مشکلات، استفاده از عملکرد مسائل (یا احتمالاً یک درخواست git) است. هر دو عملکرد عمومی هستند که به مهاجمان اجازه می‌دهد از وجود مشکل مطلع شوند و می‌توانند از گزارش اولیه برای اطلاع‌رسانی بیشتر در مورد هدف‌گیری خود استفاده کنند. مهاجمان همچنان پنجره ای بین زمانی که یک پچ در دسترس است و زمانی که به طور جهانی اعمال می‌شود، دارند. ما نیازی نداریم که به آن‌ها زمان بیشتری بدهیم.

بنابراین، ویژگی جدید به گونه‌ای طراحی شده است که گزارش‌دهی مستقیم آسیب‌پذیری‌ها را با استفاده از یک فرم ساده برای محققان امنیتی آسان‌تر کند.

کیسی الیس، بنیانگذار و مدیر ارشد فناوری در Bugcrowd گفت: این مسئله گیت‌هاب را تکامل می‌بخشد، نه فقط برای ایجاد یک گردش کار برای تسهیل افشای آسیب‌پذیری، بلکه مهم‌تر از آن، برای عادی سازی اهمیت بازخورد امنیتی از دنیای خارج برای نگهبانان و توسعه دهندگان F/OSS.»

پس از دریافت هشدار آسیب‌پذیری، محققان امنیتی می‌توانند آن را بپذیرند، سؤالات بیشتری بپرسند یا آن را رد کنند. اگر تصمیم بگیرند آن را بپذیرند، سپس می‌توانند با فردی که آسیب‌پذیری را کشف کرده است، همکاری کنند.

قابلیت گزارش آسیب‌پذیری خصوصی چند هفته پس از کشف نقصی در گیت‌هاب توسط Checkmarx ارائه می‌شود که ظاهراً می‌توانست مهاجمان را قادر به کنترل ریپازیتوری‌ها و انتشار بدافزار به برنامه‌ها و کدهای مرتبط کند.

منبع: Infosecurity
کد مطلب : 19860
https://aftana.ir/vdcdzj0f.yt0n96a22y.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی