Halka açık depodaki güvenlik açıklarını ele alan PR'lerin ele alınması için en iyi yöntem nedir?

22

En iyi şekilde kamuya açık bir depoya sahip olan açık kaynaklı bir proje, güvenli bir şekilde bildirilen ancak henüz kamuya açıklanmayan güvenlik açıklarını ele alan istekleri en iyi şekilde ele almalı mı?

Yüzlerce katkıda bulunan açık kaynaklı bir projeye katılıyorum. Düzenli olarak planlanan aylık sürümlerin bir parçası olarak yılda birkaç kez güvenlik bildirimleri ve güvenlik açıkları yayınlıyoruz. Yamalı sürümü kullanıma sunana kadar güvenlik açıkları ile ilgili bilgileri yayınlamıyoruz. Proje yönetim sistemimizdeki (JIRA) güvenlik sorunlarını güvenli bir şekilde yönetebiliyoruz. Ancak GitHub'a gönderilirken güvenlik açıklarını gideren PR'ları gizlemek için iyi bir işlemimiz olmadı. İnsanların bu düzeltmeleri yayınlanmadan önce bulabilmeleri ve sıfır gün yararlanma yaratabileceğinden endişe duyuyoruz.

Ana repoyu çatallayan özel repolar kullanmayı düşündük, ancak şu anda incelememizin ve KG iş akışının çoğu PR'lerde gerçekleşiyor. İş akışını bir güvenlik ekibine yalnızca özel bir depoya taşıdıysak, bu düzeltme, kambur topların üretilmesi ve kaynak kaynak üzerinde yayınlanmasının büyük bir gelişme olacağı yayınlanmasına kadar geçen süreleri kısaltır. Ayrıca, halkla ilişkiler kamuoyunu kamuya açık beta sistemimizle birleştirmekten de kaçınmamız gerekiyor.

Bu yöne girmeden önce, açık kaynak kodlu projelerde açık kaynak kodlu projelerde yayın öncesi güvenlik hata düzeltme eklerini ele almak için en iyi uygulamanın ne olduğunu bilmek isterim. Sorun GitHub'dan farklı bir platform kullanarak daha iyi çözülebilirse, GitLab'a geçişi değerlendirdiğimizi söylemeliyim.

open-source  security  github  gitlab 
Joe Murray
kaynak
1
En iyi uygulamaların hazır olup olmadığından emin değilim. GitLab aslında özel bir GitHub. Açık kaynaklı endişelerin ve güvenlik düzeltmelerinin dengelenmesi kolay değildir. Güvenlik düzeltmelerinizin kaçı güvenlik ekibinizde olmayan insanlardan geliyor?
Berin Loritsch 18:17
Çoğu sorun başkaları tarafından bildiriliyor, ancak muhtemelen düzeltmelerin beşte birinden azı güvenlik ekibinde olmayanlardan geliyor.
Joe Murray
1
Kanımca, sürecinizin bir kısmının özel olması gerekiyorsa, GitHub'un dışında yapılması gerekiyor (çünkü GH halka açıktır); Bu özel bölüm yapıldıktan sonra herkes kodunu gözden geçirdi; Resmi sürece geri dönmek için, mümkün olduğu kadar çabuk birleştirilecek olan GH'de bir PR oluşturabilirsiniz. İşlemdeki bu istisnaları yönetmek için başka bir araç kullanabilirsiniz.
Emerson Cardoso
2
Tam acil durum açıklaması (yani gecikme olmaksızın kamuya açıklama) yapılması tamamen meşru bir şeydir.
Miles Rout
1
Bu sorunun, güvenlik konusu ekip tarafından açıklanmadığı sürece dünya tarafından bilinmediği varsayılmaktadır. Bu sadece doğru değil; keşfedilen herhangi bir güvenlik sorununun bir yerde kötü niyetli biri tarafından bilindiği varsayılmalıdır. Şimdi, bir başkasının sorunu zaten bildiğini ve bu durumu istismar edebileceğini varsayarsanız, düzenli olarak yayımlanana kadar düzeltmenin yayımlanmasını erteleyemezsiniz. En kısa sürede serbest bırakmalısınız. Bu, düzenli PR akışını takip etmede sorun olmadığı anlamına gelir. Sadece son sürüm şubesine karşı PR, birleştirme, etiketleme, sürüm.
Jory Geerts

Yanıtlar:

1

Bunun için protokol, kamuya açık güvenlik açığı göstermedeki risk faktörlerine karar vermektir. Güvenlikle ilgili herhangi bir şey için, bu PR'lerin yalnızca güvenlik ekibinizin görebileceği özel bir depoda olması gerekir. Bu, Çekme İsteklerini üretmek ve uygulamak için kullandığınız platformdan bağımsız olarak geçerlidir.

Lloyd Moore
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.