.
O GitHub está oferecendo um esquema para pesquisadores de segurança relatarem em particular vulnerabilidades encontradas em repositórios públicos.
Ser capaz de relatar falhas de código em particular é importante para os pesquisadores que muitas vezes são deixados com escolhas que podem levar a mais problemas de segurança, disse o GitHub em um postagem no blog.
“Os pesquisadores de segurança geralmente se sentem responsáveis por alertar os usuários sobre uma vulnerabilidade que pode ser explorada”, escreveu a empresa. “Se não houver instruções claras sobre como entrar em contato com os mantenedores do repositório que contém a vulnerabilidade, os pesquisadores de segurança podem não ter outra escolha a não ser postar sobre a vulnerabilidade nas mídias sociais, enviar mensagens diretas ao mantenedor ou até mesmo criar problemas públicos”.
Essas opções “podem potencialmente levar a uma divulgação pública dos detalhes da vulnerabilidade”, de acordo com o GitHub.
Os repositórios diferem em como os pesquisadores podem ser contatados, alguns com poucas ou nenhuma instrução. Nesses casos, ir a público pode parecer a única alternativa, o que abre a porta para criminosos também encontrarem e explorarem os dados.
Com o novo recurso de relatório privado, um pesquisador de segurança pode relatar uma vulnerabilidade a um repositório público usando o esquema. Ele pode aceitá-lo – sinalizando ao pesquisador o desejo de colaborar para corrigir a falha – ou fazer mais perguntas e/ou rejeitá-lo.
Os mantenedores podem habilitar o relatório privado no GitHub.com acessando a página principal de seu repositório, clicando em Configurações e, em seguida, em “Segurança e análise de código” na seção “Segurança”. À direita de “Relatório de vulnerabilidade privada”, eles podem optar por ativar ou desativar o recurso.
“Quando um mantenedor habilita relatórios de segurança privada para seu repositório, os pesquisadores de segurança verão um novo botão na página de recomendações do repositório”, de acordo com o GitHub. “O pesquisador de segurança pode clicar neste botão para relatar em particular uma vulnerabilidade de segurança ao mantenedor do repositório.”
A iniciativa foi um dos vários anúncios que o GitHub fez no programa de desenvolvedores GitHub Universe 2022 deste mês.
Chega de ‘nomear e envergonhar’
A mudança do GitHub é bem-vinda no campo da segurança cibernética. Andrew Barratt, vice-presidente da Coalfire, disse Strong The One tem havido uma necessidade de uma melhor colaboração entre pesquisadores e fabricantes de software, acrescentando que “com tudo, desde esquemas de recompensa de bugs, aliases de relatórios de segurança e vergonha de nomes públicos nas mídias sociais, relatórios privados de vulnerabilidade parecem uma solução óbvia para reunir a comunidade de pesquisa com a comunidade de produtos.”
Casey Ellis, fundador e CTO da Bugcrowd, disse Strong The One que o GitHub não está apenas criando um fluxo de trabalho para facilitar a divulgação de falhas, mas ainda mais está normalizando a importância do feedback externo de segurança para mantenedores e desenvolvedores do FOSS.
Fora do mundo do código aberto, é normal que grandes programas de recompensas e equipes de resposta a incidentes de segurança de produtos (PSIRTs) recebam relatórios privados, de acordo com John Bambenek, principal caçador de ameaças da Netenrich.
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, nos disse que grandes desenvolvedores de software como a Microsoft já têm maneiras de contatá-los em particular sobre vulnerabilidades.
Dito isso, os fornecedores de código fechado ainda podem usar abordagens semelhantes às do GitHub para gerar mais envolvimento com a comunidade, possivelmente por meio da publicação de APIs ou stubs de interface com uma opção de relatório para pesquisadores, disse Barratt, da Coalfire.
“Os primeiros passos para esses fornecedores são realmente ter um modelo de engajamento com a comunidade com a qual estão dispostos a se comprometer”, disse ele. “Normalmente, é a falta de engajamento, ou a falta de qualquer forma significativa de colaboração, que desencadeia o ‘nome e vergonha’ nas mídias sociais, muitas vezes com pesquisadores publicando o pior cenário para chamar a atenção de um executivo”. ®
.
