GitHub menawarkan skema bagi peneliti keamanan untuk secara pribadi melaporkan kerentanan yang ditemukan di repositori publik.
Mampu melaporkan cacat kode secara pribadi penting bagi peneliti yang sering dihadapkan pada pilihan yang dapat menyebabkan lebih banyak masalah keamanan, kata GitHub dalam sebuah posting blog.
“Peneliti keamanan sering kali merasa bertanggung jawab untuk mengingatkan pengguna akan kerentanan yang dapat dieksploitasi,” tulis perusahaan tersebut. “Jika tidak ada instruksi yang jelas tentang menghubungi pengelola repositori yang berisi kerentanan, peneliti keamanan mungkin tidak punya pilihan lain selain memposting tentang kerentanan di media sosial, mengirim pesan langsung ke pengelola, atau bahkan membuat masalah publik.”
Opsi semacam itu “berpotensi mengarah pada pengungkapan publik atas detail kerentanan,” menurut GitHub.
Repositori berbeda tentang bagaimana peneliti dapat dihubungi, dengan beberapa memiliki sedikit instruksi jika ada. Dalam kasus seperti itu, go public tampaknya merupakan satu-satunya alternatif, yang membuka pintu bagi penjahat juga untuk menemukan dan mengeksploitasi data.
Dengan kemampuan pelaporan pribadi yang baru, peneliti keamanan dapat melaporkan kerentanan ke repositori publik menggunakan skema tersebut. Ia dapat menerimanya – mengisyaratkan kepada peneliti keinginan untuk berkolaborasi untuk memperbaiki kekurangan – atau mengajukan lebih banyak pertanyaan dan/atau menolaknya.
Pengelola dapat mengaktifkan pelaporan pribadi di GitHub.com dengan membuka halaman utama repositori mereka, mengklik Pengaturan, lalu pada “Keamanan dan analisis kode” di bagian “Keamanan”. Di sebelah kanan “Pelaporan kerentanan pribadi”, mereka dapat memilih untuk mengaktifkan atau menonaktifkan fitur tersebut.
“Saat pengelola mengaktifkan pelaporan keamanan pribadi untuk repositori mereka, peneliti keamanan akan melihat tombol baru di halaman Penasihat repositori,” menurut GitHub. “Peneliti keamanan dapat mengklik tombol ini untuk secara pribadi melaporkan kerentanan keamanan ke pengelola repositori.”
Inisiatif ini adalah salah satu dari sejumlah pengumuman yang dibuat GitHub pada acara pengembang GitHub Universe 2022 bulan ini.
Tidak ada lagi ‘menyebut dan mempermalukan’
Langkah GitHub disambut baik di bidang keamanan siber. Andrew Barratt, wakil presiden di Coalfire, memberi tahu Pendaftaran ada kebutuhan untuk kolaborasi yang lebih baik antara peneliti dan pembuat perangkat lunak, menambahkan bahwa “dengan segala sesuatu mulai dari skema hadiah bug, alias pelaporan keamanan, dan mempermalukan nama publik di media sosial, pelaporan kerentanan pribadi terasa seperti solusi yang jelas untuk menyatukan komunitas riset dengan komunitas produk.”
Casey Ellis, pendiri dan CTO di Bugcrowd, memberi tahu Pendaftaran bahwa GitHub tidak hanya membuat alur kerja untuk memfasilitasi pengungkapan kelemahan, tetapi terlebih lagi GitHub menormalkan pentingnya umpan balik keamanan dari luar untuk pengelola dan pengembang FOSS.
Di luar dunia sumber terbuka, wajar jika program hadiah besar dan tim respons insiden keamanan produk (PSIRT) mengambil laporan pribadi, menurut John Bambenek, pemburu ancaman utama di Netenrich.
Mike Parkin, insinyur teknis senior di Vulcan Cyber, memberi tahu kami bahwa pengembang perangkat lunak besar seperti Microsoft sudah memiliki cara untuk menghubungi mereka secara pribadi tentang kerentanan.
Meskipun demikian, vendor sumber tertutup masih dapat menggunakan pendekatan serupa dengan GitHub untuk menghasilkan lebih banyak keterlibatan dengan komunitas, mungkin melalui penerbitan API atau rintisan antarmuka dengan opsi pelaporan untuk peneliti, kata Barratt dari Coalfire.
“Langkah pertama bagi vendor tersebut adalah untuk benar-benar memiliki model keterlibatan dengan komunitas yang ingin mereka jadikan komitmen,” katanya. “Biasanya kurangnya keterlibatan, atau kurangnya cara yang berarti untuk berkolaborasi, yang memicu ‘nama dan rasa malu’ di media sosial, cukup sering peneliti menerbitkan skenario terburuk untuk mendapatkan perhatian eksekutif.” ®