在微软旗下的代码托管平台首次推出漏洞数据库供公众使用约两年后,GitHub正在向社区提交开放GitHub咨询数据库。
此举符合更广泛的工业界对软件供应链安全的推动,也符合最近白宫主办的开源安全峰会的要求,该峰会试图解决如何最好地解决社区驱动的软件的缺陷–比如最近发现的Log4j漏洞。
GitHub高级产品经理凯特•卡特林(Kate Catlin)在一篇博客文章中写道:“GitHub相信,免费和开放的安全数据对于整个行业的授权至关重要,这将最好地保护我们的软件供应链v2rayng软件更新。”
GitHub咨询数据库是一个庞大的软件依赖漏洞的概要,允许开发人员在GitHub上搜索已知的影响开源项目的问题,包括他们自己项目中可能受到影响的特定存储库v2rayng免费节点github,。
到目前为止,GitHub已经使用从各种来源收集的信息填充了数据库,包括国家漏洞数据库、机器学习和人工审查GitHub上的公共代码提交、通过GitHub报告的安全建议,以及NPM安全咨询数据库。今后,GitHub将不再完全依靠安全研究人员和策展人团队来维护数据库,审查代码变更,并保持顾问信息的更新,而是让社区成员将他们的价值加入到这个组合中。
卡特林指出:“通过使其更容易贡献和消费v2rayng免费节点github,我们希望它将为更多的经验提供动力,并将进一步帮助提高所有软件的安全性。”
这意味着,从独立的安全研究人员和学者到自由编码者,现在都可以为已确认的CVE(常见漏洞和暴露)提供额外的信息和背景。要做到这一点,开发人员可以在数据库中导航到一个特定的安全公告,然后通过 建议改进此漏洞 选项提交他们的研究。
值得注意的是,所有社区提交的信息仍将由GitHub和最初提交CVE的维护者进行审查。
为了支持这种新的推送,咨询数据库的全部内容都有一个新的公共存储库,并有一个用户界面用于做出贡献。与现有数据库一样,所有数据都将在知识共享协议下提供,因此可以以任何方式重新使用。
