在應對軟件供應鏈漏洞時，研究人員、學者和業余愛好者現在不但能因為免費、開源的安全數據受益，而且還能做出貢獻。

軟件開發平臺GitHub已將其Advisory Database（咨詢數據庫）在社區開放，允許任何人提供有關安全漏洞的見解和情報，來幫助提高軟件供應鏈的安全性。該數據庫的全部內容現在也將在知識共享許可協議下發布到一個新的、可免費訪問的公共存儲庫。專家表示，這種數據共享是提高軟件供應鏈安全性和解決軟件相關風險的關鍵。

安全社區因免費和開放的數據受益

數以百萬計的開發人員和公司使用GitHub來構建、發布和維護軟件。該公司表示，通過將其Advisory Database公開給社區貢獻者，安全研究人員、學者和愛好者將能夠提供、分享和受益于額外的信息和背景，從而促進社區對安全咨詢的理解和認識。

“GitHub認為，免費和開放的安全數據能夠促進整個行業更好地保護我們的軟件供應鏈安全，”該公司補充道，“GitHub的Advisory Database是世界上最大的軟件依賴漏洞數據庫，通過簡化它的contribute和consume操作，我們希望它能提高體驗感，并進一步幫助提高所有軟件的安全性。”

GitHub 已經建立了一個用戶界面，方便貢獻者提供他們的想法。GitHub安全實驗室的研究人員將對其進行審查。貢獻者可以就軟件包、受影響的版本和受影響的生態系統提出更改建議或提供上下文，一旦他們的貢獻被接受，他們將在自己GitHub的個人資料上獲得公共信用。GitHub表示，開源漏洞（OSV）計劃就是為了這些在存儲庫中的建議而開展的。

“為了拓寬開源漏洞管理，這些安全建議需要被所有人廣泛接受并使用，”Google開源安全團隊的軟件工程師Oliver Chang說，“OSV 提供了這種可能。”

軟件供應鏈安全不可或缺的數據共享

Salt Security 研究副總裁 Yaniv Balmas認為，GitHub 的舉動是在推動保護開源項目和庫方面向前邁出一步。“公開報告的軟件漏洞數量創歷史新高，并且逐年增長。良好且一致的信息共享可能是解決此問題的最有效方法之一。”他說。

由于GitHub擁有最大數量的開源代碼，因此向社區開放咨詢數據庫將使軟件供應商能夠更清楚地了解他們正在使用的每個軟件版本或共享庫的安全狀況，并幫助漏洞獵手報告并修復程序錯誤。Balmas 補充道：“它還將有助于解決軟件供應鏈攻擊問題，因為它可以讓供應商更清楚地了解他們使用的每個共享軟件組件及其安全狀況。”

ESET全球網絡安全顧問Jake Moore對此表示贊同：“在過去的幾年里，軟件供應鏈遭受了巨大的打擊，在受害者有機會做出回應之前，漏洞就在網絡黑市中被突出顯示和共享。”他補充道，在可信任的社區內共享新發現的威脅情報將有利于那些可能無法獲得最佳保護的用戶去訪問最新的更新補丁信息。