GitHub正式啟用私下漏洞通報管道

GitHub上周正式啟用了自去年11月便展開測試的私下漏洞通報（Private Vulnerability Reporting）管道，可讓安全研究人員更方便通報公共儲存庫的漏洞予專案維護人員。

過去安全研究人員在發現專案漏洞之後，有時會直接張貼在社交媒體，建立一個公開issue，或是傳訊給維護者，而私下漏洞通報則允許研究人員利用一個簡單的格式直接向維護人員揭露漏洞，並讓雙方得以合作進行修復。

專案維護人員可於儲存庫設定中的程式碼安全與分析（Code Security and Analysis）啟用此一新功能，有別於測試版必須在每個個別的儲存庫中設定，正式版新增了一個選項，可讓維護人員一次啟用組織內的所有儲存庫；亦可選擇如何歸功漏洞的發現，例如來自分析師、工具或簡單的發現者。

正式版還有全新的儲存庫安全公告API（Repository Security Advisories API ），可用來與第三方系統整合，包括將GitHub上的漏洞報告傳送至第三方的漏洞管理平臺，讓安全研究人員可將同一個漏洞報告提交至不同的儲存庫，或是作為漏洞警報之用。

GitHub表示，此一漏洞通報管道自去年11月進行公開測試之後，就有超過3,000家組織的維護人員於18萬個儲存庫中啟用了該功能，所收到的漏洞通報超過1,000筆。JSON5專案利用該管道與安全研究人員取得了聯繫，其修補程式觸發了逾1,100萬個警報，除了彰顯JSON5的熱門程度之外，也展現了此一功能的價值。

私下漏洞通報主要供公共儲存庫使用，且為一免費服務。