github现在开放全世界最大的软件依赖性漏洞数据库github安全咨询数据库(github advisory database)供社群贡献,以进一步丰富数据库的内容。过去github安全研究人员负责审查所有变更,并且更新安全咨询建议,但官方提到,开源安全世界快速发展,新的漏洞和攻击媒介不停增加,这也促使社群需要掌握更多的信息,而过去社群成员对cve有其他见解和情报时,没有地方能够分享这些知识。
github认为免费且开放的安全资料,才能使整个产业更好地保护软件供应链,因此宣布将github安全咨询数据库开放给社群贡献。github将安全咨询数据库的全部内容,发布到一个新的公共存储库,数据库中的资料使用创用cc授权条款(creative commons license),永远供社群免费使用,另外,github还构建了一个让社群可以方便贡献的接口。
官方提到,github安全咨询数据库是目前世界上最大的软件依赖性漏洞数据库,由一个全职的团队维护,并借助npm、nuget的审核经验,以及github自己的依赖性更新机器人dependabot来维护。而现在开放github安全咨询数据库,将可让贡献和使用该数据库变得更为容易,进一步协助提高所有软件安全性。
社群和安全研究人员,可以贡献额外的信息和背景,来提升社群对安全咨询的理解和认识,借由填写表单,针对特定漏洞提供改进建议,并额外提供相关组件、受影响版本和受影响生态系统等背景信息。
当完成建议表单,系统会引导用户打开一个拉取请求,详细说明自己建议的更改,一旦打开拉取请求,来自github安全实验室的安全研究人员,以及提交cve项目的贡献者,将能够审查该拉取请求,一旦贡献被采用并整合,贡献者便可以获得公开的信用点数。github安全咨询数据库采用开源漏洞格式(open source vulnerabilities,osv),使得安全建议能够被广泛访问,且易于所有人参与。