近日,谷歌发布开源项目漏洞协作披露指南,旨在普及开源安全相关知识,修复部分“修复”。该指南由3个主要部分组成:设置漏洞管理的“基础设施”,维护漏洞披露的背景材料,CVD过程中的步骤,过程决策点的注意事项,以及出现问题时常见Runbook模板的漏洞响应程序故障排除,从SECURITY.MD到公开披露大纲,用户处理问题所需的所有沟通方式。文章指出,不是一个项目没有收到漏洞报告就不需要披露政策,或者只有成为“安全人”才能实施漏洞披露政策。成功的协作漏洞披露通常取决于良好的流程管理和清晰周到的沟通。用户不必是操作系统功能方面的专家也能理解报告者如何使用漏洞披露政策。预先确定的策略、完善的模板和良好的运行手册可以帮助查找、修补和披露大多数类型的漏洞。最后,谷歌表示,在当今行业,由于对供应链的依赖,仅在一个开源项目中提高安全性,就可以对整体产生多重影响。漏洞披露是整体安全态势的一个重要方面,希望开源项目遵循这一指导,共同提高开源安全性。本文转自OSCHINA文章标题:谷歌发布开源项目漏洞披露指南本文地址:https://www.oschina.net/news/130332/google-vulnerability-disclosure
