En iyi şekilde kamuya açık bir depoya sahip olan açık kaynaklı bir proje, güvenli bir şekilde bildirilen ancak henüz kamuya açıklanmayan güvenlik açıklarını ele alan istekleri en iyi şekilde ele almalı mı?
Yüzlerce katkıda bulunan açık kaynaklı bir projeye katılıyorum. Düzenli olarak planlanan aylık sürümlerin bir parçası olarak yılda birkaç kez güvenlik bildirimleri ve güvenlik açıkları yayınlıyoruz. Yamalı sürümü kullanıma sunana kadar güvenlik açıkları ile ilgili bilgileri yayınlamıyoruz. Proje yönetim sistemimizdeki (JIRA) güvenlik sorunlarını güvenli bir şekilde yönetebiliyoruz. Ancak GitHub'a gönderilirken güvenlik açıklarını gideren PR'ları gizlemek için iyi bir işlemimiz olmadı. İnsanların bu düzeltmeleri yayınlanmadan önce bulabilmeleri ve sıfır gün yararlanma yaratabileceğinden endişe duyuyoruz.
Ana repoyu çatallayan özel repolar kullanmayı düşündük, ancak şu anda incelememizin ve KG iş akışının çoğu PR'lerde gerçekleşiyor. İş akışını bir güvenlik ekibine yalnızca özel bir depoya taşıdıysak, bu düzeltme, kambur topların üretilmesi ve kaynak kaynak üzerinde yayınlanmasının büyük bir gelişme olacağı yayınlanmasına kadar geçen süreleri kısaltır. Ayrıca, halkla ilişkiler kamuoyunu kamuya açık beta sistemimizle birleştirmekten de kaçınmamız gerekiyor.
Bu yöne girmeden önce, açık kaynak kodlu projelerde açık kaynak kodlu projelerde yayın öncesi güvenlik hata düzeltme eklerini ele almak için en iyi uygulamanın ne olduğunu bilmek isterim. Sorun GitHub'dan farklı bir platform kullanarak daha iyi çözülebilirse, GitLab'a geçişi değerlendirdiğimizi söylemeliyim.