2月22日GitHub希望帮助开发人员在安全问题变得过于严重之前发现它们

2022-02-23 11:03:38谈影堂导读为了进一步保护开源软件，月日严重GitHub宣布GitHub咨询数据库现在对社区贡献开放。希望虽然该公司拥有自己的帮助变安全研究人员团队，他们会仔细审查所有更改并帮助及时更新安全建议，安全但社区成员通常对CVE有更多的问题见解和情报，但缺乏分享这些知识的过于地方。这就是发现GitHub将其咨询数据库的全部内容发布到新的公共存储库的原因，以使社区更容易利用这些数据。月日严重同时，希望公司还为安全

为了进一步保护开源软件，帮助变GitHub宣布GitHub咨询数据库现在对社区贡献开放。安全虽然该公司拥有自己的问题安全研究人员团队，他们会仔细审查所有更改并帮助及时更新安全建议，过于但社区成员通常对CVE有更多的发现见解和情报，但缺乏分享这些知识的月日严重地方。

这就是GitHub将其咨询数据库的全部内容发布到新的公共存储库的原因，以使社区更容易利用这些数据。同时，公司还为安全研究人员、学者和爱好者构建了一个新的用户界面，供他们做出贡献。

GitHub咨询数据库中的所有数据均在知识共享许可下获得许可，并且自数据库首次创建以来一直如此，以确保其保持免费且可供社区使用。

为了向安全公告提供社区贡献，GitHub用户首先需要导航到他们希望贡献的公告，并通过“针对此漏洞的建议改进”工作流程提交他们的研究。在这里，他们可以建议更改或提供有关软件包、受影响版本、受影响生态系统等的更多背景信息。

然后，该表单将引导用户打开一个详细说明他们建议的更改的拉取请求。完成此操作后，来自GitHub安全实验室的安全研究人员以及提交CVE的项目维护者将能够审查该请求。一旦他们的贡献被合并，贡献者也将在他们的GitHub个人资料上获得公共信用。

为了进一步提高互操作性，GitHub咨询数据库存储库中的建议使用开源漏洞(OSV)格式。Google开源安全团队的软件工程师OliverChang在博客文章中提供了有关OSV格式的更多详细信息，他说：

“为了扩展开源中的漏洞管理，安全建议需要被广泛访问并易于所有人参与。OSV提供了这种能力。”

一旦安全研究人员、学者和爱好者开始为公司的数据库做出自己的贡献，我们可能会更多地关注GitHub咨询数据库的这一变化。