GitHub 宣布私人漏洞报告现已普遍可用，并且可以在属于组织的所有存储库上大规模启用。

启用后，安全研究人员可以使用此专用通信渠道向开源项目的维护人员私下披露安全问题，而不会意外泄露漏洞详细信息。

GitHub 的埃里克·图利 (Eric Tooley) 和凯特·卡特琳 (Kate Catlin)表示，这是“一个私人协作渠道，让研究人员和维护人员更容易报告和修复公共存储库中的漏洞” 。

自2022 年 11 月在GitHub Universe 2022全球开发者活动期间作为一项可选功能推出以来，“超过 3 万个组织的维护者已经启用了对超过 18 万个存储库的私人漏洞报告，收到了安全研究人员提交的 1,000 多份报告。”

易于跨组织的回购启用

在公开 Beta 测试阶段，报告私有漏洞的选项只能由维护者和存储库所有者仅在单个存储库上激活。

从本周开始，他们现在可以为组织内的所有存储库启用这个直接错误报告渠道。

GitHub 还通过一个新的存储库安全建议 API添加了集成和自动化支持，该 API 可以将私人报告分派给第三方漏洞管理系统，并将相同的报告提交给共享安全漏洞的多个存储库。

它还可以配置为在所有新的公共存储库上自动启用私有错误报告。

通过单击“私有漏洞报告”选项旁边的“全部启用”按钮，可以在“代码安全和分析”下启用该功能。

启用私有漏洞报告 (GitHub)

公共存储库的所有者和管理员应切换私有漏洞报告，以确保他们在解决问题的同一平台上收到错误报告，与研究人员讨论所有细节，并与他们安全地合作创建补丁。

启用后，安全研究人员可以通过单击左侧栏中“报告”>“公告”下的“报告漏洞”，从存储库名称下的“安全”选项卡直接在 GitHub 上提交私人安全报告。

私人错误报告也可以使用本文档页面中描述的参数通过 GitHub REST API 发送。

上个月，GitHub 还宣布其秘密扫描警报服务现在可用于所有公共存储库。