Comment un projet open source avec un référentiel public doit-il gérer au mieux les demandes de tirage (PR) qui corrigent des vulnérabilités de sécurité signalées de manière sécurisée mais pas encore divulguées publiquement?
Je suis impliqué dans un projet open source avec plusieurs centaines de contributeurs. Nous publions des avis de sécurité et des vulnérabilités plusieurs fois par an dans le cadre d'une version mensuelle régulièrement planifiée. Nous ne publions pas d'informations sur les vulnérabilités avant d'avoir rendu disponible la version corrigée. Nous sommes en mesure de gérer en toute sécurité les problèmes de sécurité dans notre système de gestion de projet (JIRA). Mais nous n'avons pas de bon processus pour masquer les PR qui corrigent les failles de sécurité lors de leur soumission à GitHub. Nous souhaitons que les utilisateurs puissent trouver ces correctifs avant leur publication et créer des exploits Zero Day.
Nous avons envisagé d'utiliser des dépôts privés qui génèrent le référentiel principal, mais une grande partie de notre flux de travail de révision et d'assurance qualité se produit actuellement sur les RP. Si nous déplacions le flux de travail vers une équipe de sécurité uniquement repo privé, cela réduirait la fenêtre lorsque le correctif est public jusqu'aux heures nécessaires pour générer les tarballs et les publier sur sourceforge, ce qui serait une grande amélioration. Nous devons également éviter de fusionner les RP dans notre version bêta publique.
Avant d'aller dans cette direction, j'aimerais savoir quelle est la meilleure pratique pour gérer les correctifs de correction de bogues de sécurité pré-version dans les projets open source avec open repos? Si le problème peut être mieux résolu en utilisant une plate-forme différente de GitHub, je dois mentionner que nous évaluons la migration vers GitLab.
la source
Réponses:
Le protocole pour cela est de décider des facteurs de risque de montrer publiquement les vulnérabilités. Pour tout ce qui concerne la sécurité, ces relations publiques doivent être dans un référentiel privé que seule votre équipe de sécurité peut voir. Cela s'applique quelle que soit la plate-forme que vous utilisez pour produire et exécuter les demandes de tirage.
la source