Bagaimana seharusnya proyek sumber terbuka dengan repositori publik menangani permintaan tarikan (PR) terbaik yang menangani dengan aman dilaporkan tetapi belum secara terbuka mengungkapkan kerentanan keamanan?
Saya terlibat dalam proyek sumber terbuka dengan beberapa ratus kontributor. Kami mempublikasikan pemberitahuan keamanan dan kerentanan beberapa kali setahun sebagai bagian dari rilis bulanan yang dijadwalkan secara rutin. Kami tidak mempublikasikan informasi tentang kerentanan sampai kami membuat versi tambalan tersedia. Kami dapat mengelola masalah keamanan dengan aman di sistem manajemen proyek kami (JIRA). Tetapi kami belum memiliki proses yang baik untuk mengaburkan PR yang memperbaiki kerentanan keamanan saat mereka dikirimkan ke GitHub. Kami khawatir orang-orang dapat menemukan perbaikan ini sebelum dirilis dan membuat eksploitasi nol hari.
Kami telah mempertimbangkan untuk menggunakan repo pribadi yang menggunakan repo utama, tetapi banyak dari kami saat ini meninjau dan alur kerja QA terjadi pada PR. Jika kami memindahkan alur kerja ke tim keamanan hanya repo pribadi, itu akan mengurangi jendela ketika perbaikannya publik hingga jam yang dibutuhkan untuk menghasilkan tarball dan mempublikasikannya di sourceforge, yang akan menjadi perbaikan besar. Kami juga kemungkinan harus menghindari menggabungkan PR ke dalam beta publik kami.
Sebelum pergi ke arah itu, saya ingin tahu apa praktik terbaik untuk menangani patch perbaikan bug keamanan pra-rilis dalam proyek open source dengan repo terbuka? Jika masalahnya dapat diatasi dengan menggunakan platform yang berbeda dari GitHub, saya harus menyebutkan kami sedang mengevaluasi migrasi ke GitLab.
sumber
Jawaban:
Protokol untuk ini adalah untuk menentukan faktor risiko dalam menunjukkan kerentanan secara publik. Untuk masalah keamanan apa pun, PR tersebut harus berada dalam repo pribadi yang hanya dapat dilihat oleh tim keamanan Anda. Ini berdiri terlepas dari platform yang Anda gunakan untuk memproduksi dan menindaklanjuti Permintaan Tarik.
sumber