在應(yīng)對軟件供應(yīng)鏈漏洞時，研究人員、學(xué)者和業(yè)余愛好者現(xiàn)在不但能因?yàn)槊赓M(fèi)、開源的安全數(shù)據(jù)受益，而且還能做出貢獻(xiàn)。

軟件開發(fā)平臺GitHub已將其Advisory Database（咨詢數(shù)據(jù)庫）在社區(qū)開放，允許任何人提供有關(guān)安全漏洞的見解和情報，來幫助提高軟件供應(yīng)鏈的安全性。該數(shù)據(jù)庫的全部內(nèi)容現(xiàn)在也將在知識共享許可協(xié)議下發(fā)布到一個新的、可免費(fèi)訪問的公共存儲庫。專家表示，這種數(shù)據(jù)共享是提高軟件供應(yīng)鏈安全性和解決軟件相關(guān)風(fēng)險的關(guān)鍵。

安全社區(qū)因免費(fèi)和開放的數(shù)據(jù)受益

數(shù)以百萬計的開發(fā)人員和公司使用GitHub來構(gòu)建、發(fā)布和維護(hù)軟件。該公司表示，通過將其Advisory Database公開給社區(qū)貢獻(xiàn)者，安全研究人員、學(xué)者和愛好者將能夠提供、分享和受益于額外的信息和背景，從而促進(jìn)社區(qū)對安全咨詢的理解和認(rèn)識。

“GitHub認(rèn)為，免費(fèi)和開放的安全數(shù)據(jù)能夠促進(jìn)整個行業(yè)更好地保護(hù)我們的軟件供應(yīng)鏈安全，”該公司補(bǔ)充道，“GitHub的Advisory Database是世界上最大的軟件依賴漏洞數(shù)據(jù)庫，通過簡化它的contribute和consume操作，我們希望它能提高體驗(yàn)感，并進(jìn)一步幫助提高所有軟件的安全性?！?/p>

GitHub 已經(jīng)建立了一個用戶界面，方便貢獻(xiàn)者提供他們的想法。GitHub安全實(shí)驗(yàn)室的研究人員將對其進(jìn)行審查。貢獻(xiàn)者可以就軟件包、受影響的版本和受影響的生態(tài)系統(tǒng)提出更改建議或提供上下文，一旦他們的貢獻(xiàn)被接受，他們將在自己GitHub的個人資料上獲得公共信用。GitHub表示，開源漏洞（OSV）計劃就是為了這些在存儲庫中的建議而開展的。

“為了拓寬開源漏洞管理，這些安全建議需要被所有人廣泛接受并使用，”Google開源安全團(tuán)隊(duì)的軟件工程師Oliver Chang說，“OSV 提供了這種可能。”

軟件供應(yīng)鏈安全不可或缺的數(shù)據(jù)共享

Salt Security 研究副總裁 Yaniv Balmas認(rèn)為，GitHub 的舉動是在推動保護(hù)開源項(xiàng)目和庫方面向前邁出一步?！肮_報告的軟件漏洞數(shù)量創(chuàng)歷史新高，并且逐年增長。良好且一致的信息共享可能是解決此問題的最有效方法之一?！彼f。

由于GitHub擁有最大數(shù)量的開源代碼，因此向社區(qū)開放咨詢數(shù)據(jù)庫將使軟件供應(yīng)商能夠更清楚地了解他們正在使用的每個軟件版本或共享庫的安全狀況，并幫助漏洞獵手報告并修復(fù)程序錯誤。Balmas 補(bǔ)充道：“它還將有助于解決軟件供應(yīng)鏈攻擊問題，因?yàn)樗梢宰尮?yīng)商更清楚地了解他們使用的每個共享軟件組件及其安全狀況?！?/p>

ESET全球網(wǎng)絡(luò)安全顧問Jake Moore對此表示贊同：“在過去的幾年里，軟件供應(yīng)鏈遭受了巨大的打擊，在受害者有機(jī)會做出回應(yīng)之前，漏洞就在網(wǎng)絡(luò)黑市中被突出顯示和共享?！彼a(bǔ)充道，在可信任的社區(qū)內(nèi)共享新發(fā)現(xiàn)的威脅情報將有利于那些可能無法獲得最佳保護(hù)的用戶去訪問最新的更新補(bǔ)丁信息。