近日，Google 發布了開源項目中關于協作漏洞披露的指南，旨在普及開源安全性相關的知識，這也是其最近發表的開源漏洞處理框架 “了解、預防、修復” 中 “修復” 的一部分。

該指南主要包括 3 個部分：

• 設置漏洞管理的“基礎結構”， 保管有關漏洞披露的背景材料、CVD 流程的步驟、對流程決策點的考慮以及常見情況的故障排除
• 漏洞響應過程，包括有關項目何時出現問題的運行手冊
• 模板，從 SECURITY.MD 到公開披露大綱，用戶處理問題時所需要的所有溝通方式

文中指出，并非項目尚未收到漏洞報告就不需要披露政策，或者只有成為“安全人員”才能實施漏洞披露政策。成功的協作漏洞披露通常取決于良好的流程管理和清晰周到的溝通。用戶不必是操作系統功能方面的專家，就可以了解報告者如何使用漏洞披露政策。預定策略、完善模板和良好的運行手冊可以幫助發現、修補和披露大多數類型的漏洞。

最后，Google 表示，在當今行業中，由于對供應鏈的依賴性，即使僅在一個開源項目中提高安全性也會從整體上產生數倍于此的效果。漏洞披露是總體安全狀況的關鍵方面，其希望開源項目將遵循該指南，以共同提高開源安全性。

本文轉自OSCHINA

本文標題：Google 發布開源項目的漏洞披露指南

本文地址：https://www.oschina.net/news/130332/google-vulnerability-disclosure