近日,Google 在开源项目中发布了合作漏洞披露指南,旨在普及开源安全知识,这也是其最近发布的开源漏洞处理框架 “了解、预防、修复” 中 “修复” 的一部分。
该指南主要包括 3 :
- 设置漏洞管理“基础结构”,保管有关漏洞披露的背景材料,CVD 过程步骤,考虑过程决策点,排除常见故障
- 漏洞响应过程包括相关项目何时出现问题的操作手册
- 模板,从 SECURITY.MD 公开披露大纲,用户处理问题所需的所有沟通方式
文章指出,在项目收到漏洞报告之前,不需要披露政策,也不需要披露政策。“安全人员”实施漏洞披露政策。成功的合作漏洞披露通常取决于良好的过程管理和清晰周到的沟通。用户可以了解报告人如何使用漏洞披露政策,而不必是操作系统功能的专家。预订策略、改进模板和良好的操作手册有助于发现、修复和披露大多数类型的漏洞。
最后,Google 表示,在当今行业,由于对供应链的依赖,即使只有在开源项目中提高安全性,也会产生整体效果的几倍。漏洞披露是整体安全状况的关键方面,希望开源项目能遵循本指南,共同提高开源安全。
本文转自OSCHINA
本文标题:Google 发布开源项目漏洞披露指南
本文地址:https://www.oschina.net/news/130332/google-vulnerability-disclosure