โครงการโอเพ่นซอร์สที่ควรมีพื้นที่เก็บข้อมูลสาธารณะจัดการกับคำขอดึง (PRs) ที่ดีที่สุดที่อยู่รายงานอย่างปลอดภัย แต่ยังไม่เปิดเผยช่องโหว่ความปลอดภัยสาธารณะ
ฉันเกี่ยวข้องกับโครงการโอเพ่นซอร์สที่มีผู้ร่วมให้ข้อมูลหลายร้อยคน เราเผยแพร่ประกาศเกี่ยวกับความปลอดภัยและช่องโหว่หลายครั้งต่อปีโดยเป็นส่วนหนึ่งของการวางจำหน่ายรายเดือนตามกำหนด เราจะไม่เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่จนกว่าเราจะเผยแพร่เวอร์ชันที่ได้รับการแก้ไข เราสามารถจัดการปัญหาด้านความปลอดภัยได้อย่างปลอดภัยในระบบการจัดการโครงการ (JIRA) แต่เราไม่ได้มีกระบวนการที่ดีในการปิดบัง PRs ที่แก้ไขจุดอ่อนด้านความปลอดภัยเมื่อส่งไปยัง GitHub เรากังวลว่าผู้คนสามารถค้นหาการแก้ไขเหล่านี้ได้ก่อนที่จะเผยแพร่และสร้างการหาประโยชน์ที่ไม่มีวันหยุด
เราได้พิจารณาการใช้ repos ส่วนตัวที่แยก repo หลัก แต่ส่วนใหญ่ของการตรวจสอบของเราในปัจจุบันและเวิร์กโฟลว์ QA เกิดขึ้นใน PRs ถ้าเราย้ายเวิร์กโฟลว์ไปที่ทีมรักษาความปลอดภัยเฉพาะ repo ส่วนตัวซึ่งจะลดหน้าต่างเมื่อการแก้ไขเป็นแบบสาธารณะลงจนถึงเวลาที่ใช้ในการสร้าง tarball และเผยแพร่บน sourceforge ซึ่งจะเป็นการปรับปรุงครั้งใหญ่ นอกจากนี้เรายังอาจต้องหลีกเลี่ยงการรวม PR เข้ากับเบต้าสาธารณะของเรา
ก่อนที่จะไปในทิศทางนั้นฉันต้องการทราบว่าวิธีที่ดีที่สุดในการจัดการแพทช์แก้ไขข้อบกพร่องด้านความปลอดภัยก่อนวางจำหน่ายในโครงการโอเพ่นซอร์สที่มี repos แบบเปิดคืออะไร หากปัญหาสามารถแก้ไขได้ดีขึ้นโดยใช้แพลตฟอร์มอื่นที่ไม่ใช่ GitHub ฉันควรพูดถึงว่าเรากำลังประเมินการโยกย้ายไปยัง GitLab