GitHub ha team di ricercatori di security che esaminano tutti i cambiamenti e aiutano a mantenere gli avvisi di sicurezza aggiornati.
Ciò, perché il mondo della sicurezza open source è in rapido movimento, con nuove vulnerabilità e diversi vettori di attacco che spingono la community a cercare continuamente di saperne di più.
Spesso – sottolinea GitHub – ci sono membri della community che hanno ulteriori insight e intelligence sui CVE, e non hanno un posto dove condividere questa conoscenza.
Per questi motivi, la piattaforma per sviluppatori ha annunciato che il GitHub Advisory Database è ora aperto ai contributi della community.
GitHub sta pubblicando l’intero contenuto dell’Advisory Database in un nuovo repository pubblico per rendere più facile per la community trarre vantaggio da questi dati.
L’azienda, ora di proprietà di Microsoft, ha anche sviluppato un’interfaccia utente per fare e inviare contributi.
I dati sono rilasciati sotto una licenza Creative Commons: lo sono stati – sottolinea GitHub – fin dall’inizio del database, per renderli sempre liberi e utilizzabili dalla community.
Il GitHub Advisory Database è il più grande database di vulnerabilità nelle dipendenze software del mondo.
È mantenuto da un team dedicato di curatori a tempo pieno e alimenta l’esperienza di controllo della sicurezza per npm e NuGet, così come gli alert Dependabot di GitHub.
Rendendo più facile contribuire ad esso e sfruttarne i contenuti, GitHub spera che alimenterà ancora più esperienze e aiuterà ulteriormente a migliorare la sicurezza di tutto il panorama software.
Con i contributi della community, i ricercatori di sicurezza, gli accademici e gli appassionati saranno ora in grado di fornire ulteriori informazioni e contesto per favorire la comprensione e la consapevolezza degli avvisi di sicurezza.
Per completare un invio, un form guida attraverso l’apertura di una pull request che dettaglia le modifiche suggerite. Una volta che la pull request è aperta, i ricercatori di sicurezza del GitHub Security Lab, così come il manutentore del progetto che ha presentato il CVE (se noto), saranno in grado di rivederla.
I collaboratori otterranno un credit pubblico sul loro profilo GitHub, una volta completato il merge del loro contributo.
