Google 发布开源项目的漏洞披露指南

安全 开源
近日,Google 发布了开源项目中关于协作漏洞披露的指南,旨在普及开源安全性相关的知识,这也是其最近发表的开源漏洞处理框架 “了解、预防、修复” 中 “修复” 的一部分。

近日,Google 发布了开源项目中关于协作漏洞披露的指南,旨在普及开源安全性相关的知识,这也是其最近发表的开源漏洞处理框架 “了解、预防、修复” 中 “修复” 的一部分。

该指南主要包括 3 个部分:

  • 设置漏洞管理的“基础结构”, 保管有关漏洞披露的背景材料、CVD 流程的步骤、对流程决策点的考虑以及常见情况的故障排除
  • 漏洞响应过程,包括有关项目何时出现问题的运行手册
  • 模板,从 SECURITY.MD 到公开披露大纲,用户处理问题时所需要的所有沟通方式

文中指出,并非项目尚未收到漏洞报告就不需要披露政策,或者只有成为“安全人员”才能实施漏洞披露政策。成功的协作漏洞披露通常取决于良好的流程管理和清晰周到的沟通。用户不必是操作系统功能方面的专家,就可以了解报告者如何使用漏洞披露政策。预定策略、完善模板和良好的运行手册可以帮助发现、修补和披露大多数类型的漏洞。

最后,Google 表示,在当今行业中,由于对供应链的依赖性,即使仅在一个开源项目中提高安全性也会从整体上产生数倍于此的效果。漏洞披露是总体安全状况的关键方面,其希望开源项目将遵循该指南,以共同提高开源安全性。

本文转自OSCHINA

本文标题:Google 发布开源项目的漏洞披露指南

本文地址:https://www.oschina.net/news/130332/google-vulnerability-disclosure

 

责任编辑:未丽燕 来源: 开源中国
相关推荐

2020-12-27 21:17:43

漏洞Google网络攻击

2021-06-25 10:24:30

Google开源漏洞数据库

2020-11-04 14:55:06

谷歌GitHub漏洞

2020-09-04 06:19:21

漏洞网络安全基础设施安全

2022-09-07 09:27:31

漏洞CICD管道网络攻击

2014-04-14 09:58:18

开源项目

2010-07-15 10:57:44

2010-06-28 10:46:33

Google浏览器安全安全漏洞

2014-10-16 10:17:01

2020-09-15 15:34:11

漏洞网络安全网络攻击

2021-06-09 08:32:15

开源Google安全工具

2021-05-12 12:46:43

Google开源工具验证容器

2021-11-11 12:05:17

Python代码项目

2015-10-20 09:07:44

2020-05-11 11:03:47

漏洞信息泄露网络安全

2019-02-22 19:33:40

人工智能互联网投资

2024-03-21 06:05:39

物联网物联网项目硬件设计

2019-12-18 15:30:57

漏洞安全Linux

2015-11-17 09:46:29

CoreOS开源漏洞分析

2013-08-14 14:36:07

开源项目
点赞
收藏

51CTO技术栈公众号