Açık kaynaklı yazılımı daha da güvenli hale getirmek amacıyla GitHub, GitHub Danışma Veritabanının artık topluluk katkılarına açık olduğunu duyurdu.
Şirketin, tüm değişiklikleri dikkatle gözden geçiren ve güvenlik tavsiyelerini güncel tutmaya yardımcı olan kendi güvenlik araştırmacısı ekipleri olsa da, topluluk üyeleri genellikle CVE’ler hakkında ek içgörülere ve istihbarata sahiptir, ancak bu bilgiyi paylaşacak bir yeri yoktur.
Bu nedenle GitHub, Danışmanlık Veritabanının tüm içeriğini yeni bir halka açık depo topluluğun bu verilerden yararlanmasını kolaylaştırmak için. Aynı zamanda şirket, güvenlik araştırmacıları, akademisyenler ve meraklıların katkıda bulunmaları için yeni bir kullanıcı arayüzü oluşturdu.
GitHub Danışmanlık Veritabanındaki tüm veriler Creative Commons lisansı altında lisanslanmıştır ve veritabanının ilk oluşturulduğundan beri topluluk tarafından ücretsiz ve kullanılabilir kalmasını sağlamak için olmuştur.
Bir güvenlik danışmanlığına katkıda bulunmak
Bir güvenlik danışma belgesine topluluk katkısı sağlamak için GitHub kullanıcılarının önce katkıda bulunmak istedikleri danışma belgesine gitmeleri ve araştırmalarını “bu güvenlik açığı için iyileştirmeler öner” iş akışı aracılığıyla göndermeleri gerekir. Burada paketler, etkilenen sürümler, etkilenen ekosistemler ve daha fazlası hakkında değişiklik önerebilir veya daha fazla bağlam sağlayabilirler.
Form daha sonra, önerilen değişiklikleri ayrıntılandıran bir çekme isteği açarak kullanıcılara yol gösterecektir. Bu yapıldıktan sonra, GitHub Güvenlik Laboratuvarı’ndan güvenlik araştırmacıları ve CVE’yi sunan projenin yürütücüsü, talebi gözden geçirebilecek. Katkıda bulunanlar, katkıları birleştirildikten sonra GitHub profillerinde de herkese açık kredi alacaklardır.
Birlikte çalışabilirliği artırmak amacıyla GitHub Danışma Veritabanı deposundaki öneriler, Açık Kaynak Güvenlik Açıkları (OSV) biçimini kullanır. Google’ın Açık Kaynak Güvenlik Ekibi için yazılım mühendisi olan Oliver Chang, OSV formatı hakkında daha fazla ayrıntıyı bir Blog yazısıdiyor ki:
“Açık kaynakta güvenlik açığı yönetiminin ölçeklenebilmesi için, güvenlik tavsiyelerinin geniş çapta erişilebilir olması ve herkes tarafından kolayca katkıda bulunulması gerekir. OSV bu yeteneği sağlıyor.”
Güvenlik araştırmacıları, akademisyenler ve meraklılar şirketin veritabanına kendi katkılarını yapmaya başladığında GitHub Danışmanlık Veritabanındaki bu değişiklik hakkında muhtemelen daha fazla bilgi vereceğiz.