GitHub开放安全咨询数据库供社群贡献

GitHub现在开放全世界最大的软件依赖性漏洞数据库GitHub安全咨询数据库(GitHub Advisory Database)供社群贡献,以进一步丰富数据库的内容。过去GitHub安全研究人员负责审查所有变更,并且更新安全咨询建议,但官方提到,开源安全世界快速发展,新的漏洞和攻击媒介不停增加,这也促使社群需要掌握更多的信息,而过去社群成员对CVE有其他见解和情报时,没有地方能够分享这些知识。

GitHub认为免费且开放的安全资料,才能使整个产业更好地保护软件供应链,因此宣布将GitHub安全咨询数据库开放给社群贡献。GitHub将安全咨询数据库的全部内容,发布到一个新的公共存储库,数据库中的资料使用创用CC授权条款(Creative Commons License),永远供社群免费使用,另外,GitHub还构建了一个让社群可以方便贡献的接口。

官方提到,GitHub安全咨询数据库是目前世界上最大的软件依赖性漏洞数据库,由一个全职的团队维护,并借助npm、NuGet的审核经验,以及GitHub自己的依赖性更新机器人Dependabot来维护。而现在开放GitHub安全咨询数据库,将可让贡献和使用该数据库变得更为容易,进一步协助提高所有软件安全性。

社群和安全研究人员,可以贡献额外的信息和背景,来提升社群对安全咨询的理解和认识,借由填写表单,针对特定漏洞提供改进建议,并额外提供相关组件、受影响版本和受影响生态系统等背景信息。

当完成建议表单,系统会引导用户打开一个拉取请求,详细说明自己建议的更改,一旦打开拉取请求,来自GitHub安全实验室的安全研究人员,以及提交CVE项目的贡献者,将能够审查该拉取请求,一旦贡献被采用并整合,贡献者便可以获得公开的信用点数。GitHub安全咨询数据库采用开源漏洞格式(Open Source Vulnerabilities,OSV),使得安全建议能够被广泛访问,且易于所有人参与。

发表评论