Google 发布开源项目的漏洞披露指南

发表于:2021-2-22 09:04

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:御坂弟弟    来源:开源中国

#
漏洞
#
谷歌
分享:
  近日,Google 发布了开源项目中关于协作漏洞披露的指南,旨在普及开源安全性相关的知识,这也是其最近发表的开源漏洞处理框架 “了解、预防、修复” 中 “修复” 的一部分。
  该指南主要包括 3 个部分:
  · 设置漏洞管理的“基础结构”, 保管有关漏洞披露的背景材料、CVD 流程的步骤、对流程决策点的考虑以及常见情况的故障排除
  · 漏洞响应过程,包括有关项目何时出现问题的运行手册
  · 模板,从 SECURITY.MD 到公开披露大纲,用户处理问题时所需要的所有沟通方式
  文中指出,并非项目尚未收到漏洞报告就不需要披露政策,或者只有成为“安全人员”才能实施漏洞披露政策。成功的协作漏洞披露通常取决于良好的流程管理和清晰周到的沟通。用户不必是操作系统功能方面的专家,就可以了解报告者如何使用漏洞披露政策。预定策略、完善模板和良好的运行手册可以帮助发现、修补和披露大多数类型的漏洞。
  最后,Google 表示,在当今行业中,由于对供应链的依赖性,即使仅在一个开源项目中提高安全性也会从整体上产生数倍于此的效果。漏洞披露是总体安全状况的关键方面,其希望开源项目将遵循该指南,以共同提高开源安全性。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号