GitHub現在開放全世界最大的軟體相依性漏洞資料庫GitHub安全諮詢資料庫(GitHub Advisory Database)供社群貢獻,以進一步豐富資料庫的內容。過去GitHub安全研究人員負責審查所有變更,並且更新安全諮詢建議,但官方提到,開源安全世界快速發展,新的漏洞和攻擊媒介不停增加,這也促使社群需要掌握更多的資訊,而過去社群成員對CVE有其他見解和情報時,沒有地方能夠分享這些知識。

GitHub認為免費且開放的安全資料,才能使整個產業更好地保護軟體供應鏈,因此宣布將GitHub安全諮詢資料庫開放給社群貢獻。GitHub將安全諮詢資料庫的全部內容,發布到一個新的公共儲存庫,資料庫中的資料使用創用CC授權條款(Creative Commons License),永遠供社群免費使用,另外,GitHub還建構了一個讓社群可以方便貢獻的介面。

官方提到,GitHub安全諮詢資料庫是目前世界上最大的軟體相依性漏洞資料庫,由一個全職的團隊維護,並借助npm、NuGet的審核經驗,以及GitHub自己的相依性更新機器人Dependabot來維護。而現在開放GitHub安全諮詢資料庫,將可讓貢獻和使用該資料庫變得更為容易,進一步協助提高所有軟體安全性。

社群和安全研究人員,可以貢獻額外的資訊和背景,來提升社群對安全諮詢的理解和認識,藉由填寫表單,針對特定漏洞提供改進建議,並額外提供相關套件、受影響版本和受影響生態系等背景資訊。

當完成建議表單,系統會引導用戶打開一個拉取請求,詳細說明自己建議的更改,一旦開啟拉取請求,來自GitHub安全實驗室的安全研究人員,以及提交CVE項目的貢獻者,將能夠審查該拉取請求,一旦貢獻被採用並合併,貢獻者便可以獲得公開的信用點數。GitHub安全諮詢資料庫採用開源漏洞格式(Open Source Vulnerabilities,OSV),使得安全建議能夠被廣泛存取,且易於所有人參與。

熱門新聞

Advertisement