GitHub permette adesso di segnalare le vulnerabilità agli sviluppatori software

Nel ciclo di sviluppo del software, una piattaforma come GitHub è diventata un elemento davvero centrale.

Controllata da Microsoft, GitHub ospita un immenso numero di repository ed è principalmente utilizzato per la condivisione, la collaborazione e la gestione di progetti software. Offre un servizio di controllo delle versioni distribuito basato su Git: esso permette ai di sviluppatori di lavorare in modo collaborativo sullo stesso progetto senza sovrascrivere i cambiamenti degli altri e tenere traccia delle modifiche apportate al codice nel tempo.

In un altro articolo abbiamo visto, ad esempio, cos’è la filosofia DevSecOps e perché deve essere la stella polare nello sviluppo di qualunque software.

Con un comunicato ufficiale, GitHub ha annunciato la disponibilità di una funzione che permette di segnalare in privato eventuali vulnerabilità scoperte nel codice pubblicato sulla piattaforma da qualsiasi sviluppatore. In questo modo i ricercatori e gli utenti dotati del necessario bagaglio tecnico, possono segnalare le vulnerabilità lato software in modo sicuro e responsabile, senza diffonderle pubblicamente. Un approccio che evita lo sfruttamento delle lacune di sicurezza da parte di malintenzionati e criminali informatici prima che lo sviluppatore abbia provveduto a correggerle con una patch.

La segnalazione privata delle vulnerabilità era stata resa disponibile in versione “beta” già nel 2022: da allora, gli sviluppatori di oltre 30.000 organizzazioni hanno abilitato la funzionalità in oltre 180.000 repository. GitHub afferma che sono state gestite più di 1.000 segnalazioni private.

Rendendo il meccanismo disponibile e accessibile per tutti, GitHub ha anche aggiunto diverse nuove funzionalità: in primis, i programmatori possono adesso abilitare la funzione su tutti i repository della loro organizzazione, piuttosto che su un solo repository alla volta. È inoltre possibile assegnare un “credito” ai soggetti che contribuiscono a individuare e risolvere i problemi.

C’è infine una nuova API per gli avvisi di sicurezza all’interno di ciascun repository che facilita l’integrazione con sistemi di terze parti, invii automatici e la gestione dei messaggi di allerta in caso di vulnerabilità. Il fine ultimo è, ovviamente, quello di contribuire a rendere i progetti open source pubblicati su GitHub ancora più sicuri.