Em um esforço para garantir ainda mais device livreo GitHub anunciou que o GitHub Advisory Database agora está aberto a contribuições da comunidade.
O GitHub quer ajudar os desenvolvedores a identificar problemas de segurança antes que eles se tornem muito sérios
Por Redação • 22/02/2022 às 00:00
[ad_1]
Embora a empresa tenha suas próprias equipes de pesquisadores de segurança que analisam cuidadosamente todas as alterações e ajudam a manter os avisos de segurança atualizados, os membros da comunidade geralmente têm insights e informações adicionais sobre CVEs mas falta um lugar para compartilhar esse conhecimento.
Isso é por que GitHubGenericName está publicando o conteúdo completo de seu Advisory Database para um novo repositório público para tornar mais fácil para a comunidade aproveitar esses dados. Ao mesmo pace, a empresa construiu uma nova interface de usuário para pesquisadores de segurança, acadêmicos e entusiastas fazerem contribuições.
Todos os dados no GitHub Advisory Database são licenciados sob um Inventive Commons licença e tem sido desde que o banco de dados foi criado pela primeira vez para garantir que permaneça livre e utilizável pela comunidade.
Contribuindo para um aviso de segurança
Para fornecer uma contribuição da comunidade a um aviso de segurança, os usuários do GitHub primeiro precisam navegar até o aviso para o qual desejam contribuir e enviar suas pesquisas por meio do fluxo de trabalho "sugerir melhorias para esta vulnerabilidade". Aqui eles podem sugerir mudanças ou fornecer mais contexto sobre pacotes, versões afetadas, ecossistemas impactados e muito mais.
O formulário orientará os usuários na abertura de uma solicitação pull que detalha as alterações sugeridas. Feito isso, os pesquisadores de segurança do GitHub Safety Lab, bem como o mantenedor do projeto que apresentou o CVE, poderão analisar a solicitação. Os contribuintes também receberão crédito público em seus Perfil do GitHub uma vez que a sua contribuição foi fundida.
Em uma tentativa de aumentar a interoperabilidade, os avisos no repositório do GitHub Advisory Database usam as vulnerabilidades de código aberto (OSV) formato. O engenheiro de device da equipe de segurança de código aberto do Google, Oliver Chang, forneceu mais detalhes sobre o formato OSV em um postagem do weblogdizendo:
“Para que o gerenciamento de vulnerabilidades em código aberto seja dimensionado, os avisos de segurança precisam ser amplamente acessíveis e facilmente contribuídos por todos. OSV fornece essa capacidade.”
Provavelmente falaremos mais sobre essa mudança no banco de dados consultivo do GitHub assim que pesquisadores de segurança, acadêmicos e entusiastas começarem a fazer suas próprias contribuições ao banco de dados da empresa.