Google 发布开源项目的发布漏洞披露指南

作者：御坂弟弟 2021-02-20 17:36:30安全 开源 近日，Google 发布了开源项目中关于协作漏洞披露的开源指南，旨在普及开源安全性相关的项目知识，这也是漏洞披其最近发表的开源漏洞处理框架 “了解、预防、发布修复” 中 “修复” 的开源一部分。

近日，项目Google 发布了开源项目中关于协作漏洞披露的漏洞披指南，旨在普及开源安全性相关的发布知识，这也是开源其最近发表的开源漏洞处理框架 “了解、预防、项目修复” 中 “修复” 的漏洞披一部分。

该指南主要包括 3 个部分：

• 设置漏洞管理的发布“基础结构”， 保管有关漏洞披露的开源背景材料、CVD 流程的项目步骤、对流程决策点的考虑以及常见情况的故障排除
• 漏洞响应过程，包括有关项目何时出现问题的运行手册
• 模板，从 SECURITY.MD 到公开披露大纲，用户处理问题时所需要的所有沟通方式

文中指出，并非项目尚未收到漏洞报告就不需要披露政策，或者只有成为“安全人员”才能实施漏洞披露政策。成功的协作漏洞披露通常取决于良好的流程管理和清晰周到的沟通。用户不必是操作系统功能方面的专家，就可以了解报告者如何使用漏洞披露政策。预定策略、完善模板和良好的运行手册可以帮助发现、修补和披露大多数类型的漏洞。

最后，Google 表示，在当今行业中，由于对供应链的依赖性，即使仅在一个开源项目中提高安全性也会从整体上产生数倍于此的效果。漏洞披露是总体安全状况的关键方面，其希望开源项目将遵循该指南，以共同提高开源安全性。

本文转自OSCHINA

本文标题：Google 发布开源项目的漏洞披露指南

本文地址：https://www.oschina.net/news/130332/google-vulnerability-disclosure

 

责任编辑：未丽燕 来源： 开源中国 Google开源项目漏洞

(责任编辑：时尚)