在應(yīng)對(duì)軟件供應(yīng)鏈漏洞時(shí)，研究人員、學(xué)者和業(yè)余愛好者現(xiàn)在不但能因?yàn)槊赓M(fèi)、開源的安全數(shù)據(jù)受益，而且還能做出貢獻(xiàn)。

軟件開發(fā)平臺(tái)GitHub已將其Advisory Database（咨詢數(shù)據(jù)庫(kù)）在社區(qū)開放，允許任何人提供有關(guān)安全漏洞的見解和情報(bào)，來(lái)幫助提高軟件供應(yīng)鏈的安全性。該數(shù)據(jù)庫(kù)的全部?jī)?nèi)容現(xiàn)在也將在知識(shí)共享許可協(xié)議下發(fā)布到一個(gè)新的、可免費(fèi)訪問的公共存儲(chǔ)庫(kù)。專家表示，這種數(shù)據(jù)共享是提高軟件供應(yīng)鏈安全性和解決軟件相關(guān)風(fēng)險(xiǎn)的關(guān)鍵。

安全社區(qū)因免費(fèi)和開放的數(shù)據(jù)受益

數(shù)以百萬(wàn)計(jì)的開發(fā)人員和公司使用GitHub來(lái)構(gòu)建、發(fā)布和維護(hù)軟件。該公司表示，通過將其Advisory Database公開給社區(qū)貢獻(xiàn)者，安全研究人員、學(xué)者和愛好者將能夠提供、分享和受益于額外的信息和背景，從而促進(jìn)社區(qū)對(duì)安全咨詢的理解和認(rèn)識(shí)。

“GitHub認(rèn)為，免費(fèi)和開放的安全數(shù)據(jù)能夠促進(jìn)整個(gè)行業(yè)更好地保護(hù)我們的軟件供應(yīng)鏈安全，”該公司補(bǔ)充道，“GitHub的Advisory Database是世界上最大的軟件依賴漏洞數(shù)據(jù)庫(kù)，通過簡(jiǎn)化它的contribute和consume操作，我們希望它能提高體驗(yàn)感，并進(jìn)一步幫助提高所有軟件的安全性?！?/p>

GitHub 已經(jīng)建立了一個(gè)用戶界面，方便貢獻(xiàn)者提供他們的想法。GitHub安全實(shí)驗(yàn)室的研究人員將對(duì)其進(jìn)行審查。貢獻(xiàn)者可以就軟件包、受影響的版本和受影響的生態(tài)系統(tǒng)提出更改建議或提供上下文，一旦他們的貢獻(xiàn)被接受，他們將在自己GitHub的個(gè)人資料上獲得公共信用。GitHub表示，開源漏洞（OSV）計(jì)劃就是為了這些在存儲(chǔ)庫(kù)中的建議而開展的。

“為了拓寬開源漏洞管理，這些安全建議需要被所有人廣泛接受并使用，”Google開源安全團(tuán)隊(duì)的軟件工程師Oliver Chang說(shuō)，“OSV 提供了這種可能?！?/p>

軟件供應(yīng)鏈安全不可或缺的數(shù)據(jù)共享

Salt Security 研究副總裁 Yaniv Balmas認(rèn)為，GitHub 的舉動(dòng)是在推動(dòng)保護(hù)開源項(xiàng)目和庫(kù)方面向前邁出一步?！肮_報(bào)告的軟件漏洞數(shù)量創(chuàng)歷史新高，并且逐年增長(zhǎng)。良好且一致的信息共享可能是解決此問題的最有效方法之一?！彼f(shuō)。

由于GitHub擁有最大數(shù)量的開源代碼，因此向社區(qū)開放咨詢數(shù)據(jù)庫(kù)將使軟件供應(yīng)商能夠更清楚地了解他們正在使用的每個(gè)軟件版本或共享庫(kù)的安全狀況，并幫助漏洞獵手報(bào)告并修復(fù)程序錯(cuò)誤。Balmas 補(bǔ)充道：“它還將有助于解決軟件供應(yīng)鏈攻擊問題，因?yàn)樗梢宰尮?yīng)商更清楚地了解他們使用的每個(gè)共享軟件組件及其安全狀況?！?/p>

ESET全球網(wǎng)絡(luò)安全顧問Jake Moore對(duì)此表示贊同：“在過去的幾年里，軟件供應(yīng)鏈遭受了巨大的打擊，在受害者有機(jī)會(huì)做出回應(yīng)之前，漏洞就在網(wǎng)絡(luò)黑市中被突出顯示和共享?！彼a(bǔ)充道，在可信任的社區(qū)內(nèi)共享新發(fā)現(xiàn)的威脅情報(bào)將有利于那些可能無(wú)法獲得最佳保護(hù)的用戶去訪問最新的更新補(bǔ)丁信息。