GitHub ha anunciado que la notificación privada de vulnerabilidades ya está disponible de forma general y puede activarse a escala, en todos los repositorios pertenecientes a una organización.

Una vez activado, los investigadores de seguridad pueden utilizar este canal de comunicación dedicado para revelar en privado los problemas de seguridad a los responsables de un proyecto de código abierto sin filtrar accidentalmente los detalles de la vulnerabilidad.

Se trata de “un canal privado de colaboración que facilita a investigadores y mantenedores la notificación y corrección de vulnerabilidades en repositorios públicos”, explican Eric Tooley y Kate Catlin, de GitHub.

Desde su introducción como una característica opt-in en noviembre de 2022 durante el evento global de desarrolladores GitHub Universe 2022, “los mantenedores de más de 30k organizaciones han habilitado la notificación privada de vulnerabilidades en más de 180k repositorios, recibiendo más de 1.000 envíos de investigadores de seguridad.”

Durante la fase de prueba beta pública, la opción de informar sobre vulnerabilidades privadas sólo podía ser activada por los mantenedores y propietarios de repositorios en repositorios individuales.

A partir de esta semana, ya pueden habilitar este canal directo de notificación de errores para todos los repositorios de su organización.

GitHub también ha añadido soporte de integración y automatización a través de una nueva API de avisos de seguridad de repositorios que permite enviar informes privados a sistemas de gestión de vulnerabilidades de terceros y enviar el mismo informe a varios repositorios que compartan un fallo de seguridad.

También puede configurarse para que la notificación privada de fallos se active automáticamente en todos los repositorios públicos nuevos.

La funcionalidad puede activarse en “Seguridad y análisis del código” haciendo clic en el botón “Activar todo” situado junto a la opción “Informes privados de vulnerabilidades”.

Una vez activada, los investigadores de seguridad pueden enviar informes de seguridad privados directamente en GitHub desde la pestaña Seguridad, bajo el nombre del repositorio, haciendo clic en “Informar de una vulnerabilidad” en la barra lateral izquierda, en Informes > Avisos.

Los informes de fallos privados también pueden enviarse a través de la API REST de GitHub utilizando los parámetros descritos en esta página de documentación.

Info – Ciberseguridad Latam