Akrites-Foundation/SIRT

GitHub: Akrites-Foundation/SIRT

OSS-SIRT 是 Linux Foundation 旗下为开源软件维护者提供中立安全事件响应和协调漏洞披露支援的专家团队。

Stars: 2 | Forks: 1

# Akrites 开源安全事件响应团队 (OSS-SIRT) [![GitHub Super-Linter](https://static.pigsec.cn/wp-content/uploads/repos/cas/73/73677837dcbb82164812dbe8b9f73b6d06b697db49fc8b57a49ec7ffcdcf3d50.svg)](https://github.com/marketplace/actions/super-linter) OSS-SIRT(开源软件安全事件响应团队)是一个在 Linux Foundation 及更广泛的开源生态系统中工作的团队,专注于在开源生态系统中创建安全的漏洞管理能力,以确保为所有人提供有效的协调漏洞披露实践(CVD)。该团队将由来自整个行业的协调一致的专家组组成,随时准备协助 开源维护者处理修复高影响安全漏洞和相关安全突发事件的所有事宜 ## 使命 SIRT 的使命是通过提供中立的、尊重维护者的安全事件响应能力,降低开源软件中的系统性风险,该能力负责验证漏洞报告、协调修复工作、促成负责任的披露,并向生态系统交付可信的漏洞数据。 ## 愿景 构建一个具有韧性的开源生态系统,在其中,漏洞能够被负责任地发现、快速验证、有效修复、清晰披露,并可靠地传达给每一位依赖开源软件的利益相关者。 ## 战略 SIRT 将通过过滤漏洞噪音、生成高质量的披露包、协调上游和下游的修复工作、发布准确的漏洞元数据,并通过合作伙伴关系、工具和透明的指标来扩展可重复的 CVD 实践,从而在开源安全生态系统中建立一座可信的运营桥梁。 ## 我们对 OSS 维护者和用户的承诺 SIRT 将响应并协作处理开源软件项目提出的协助、指导和支援请求。通过 SIRT 提供的服务,开源软件项目可望在处理、加工、沟通和整体管理直接或间接报告给他们的疑似和已确认漏洞及发现时,获得有益且包容的建议或指导,并且这种方式将充分尊重项目现有的响应流程。 在为开源项目提供服务的过程中,SIRT 将考虑所有提供的信息,在介入前寻求了解任何外部影响或额外因素,并据此做出参与和执行的决策。SIRT 应在切实可行的范围内,平衡请求支持的项目的需求与限制,以及这些项目的用户的需求。 ## 动机 从历史上看,开源维护者和最终用户一直依赖于信任圈来安全地分发和使用开源软件。在过去几年中,随着针对开源维护者及其创建和维护的组件的攻击不断增加,事实证明这一概念本身存在问题和局限性。实际上,这些问题表明,需要做出额外的努力和工作,以确保维护者的消费者和最终用户能够安全地使用开源软件,同时又能以最小的摩擦满足他们在维护软件时的总体意图和目标。目前,这种类型的工作传统上是项目维护者团队的责任;然而,维护者往往已经缺乏足够的资源来充分解决自身的需求,更不用说承担为了以任何使用者都能接受的安全方式开发和提供其开源组件而要求他们完成的额外工作。向本已压力巨大的 pipeline 和负担沉重的维护者强加更多工作,往往会导致安全问题无法被优先处理,直到安全问题变得迫在眉睫,而这对于项目的消费者和最终用户来说往往为时已晚。 SIRT 的动机是提供可用的事件响应资源,以协助开源软件社区、下游消费者和漏洞管理生态系统解决其当前和未来的安全问题、漏洞、事件以及执行这些工作所需的流程。我们打算向项目提供服务项目,为像 `log4shell` 这样的事件提供额外的支持手段,否则这些项目将无法获得这些支持。我们希望这些努力将有助于参与该计划的开源软件社区解决关键且紧迫的安全问题。 ## 目标/范围 组建一支由可信的、供应商中立的、经过审查的、协调良好且经验丰富的安全专业人员组成的队伍,以协助生态系统快速、高效且安全地协调在开源软件项目中发现的漏洞披露。 **_明确不在范围内:_** - 任何涉及闭源/专有软件漏洞的事项 - 对开源软件进行安全性改进,除非这些改进对于 修补开源软件中新报告的、高影响和关键影响的漏洞 具有战术上的必要性 - 协助项目或个别企业修复其因其他开源项目的安全漏洞而产生的安全风险 ### 快速入门 - 需要贡献的领域 - 关于您希望 OSS-SIRT 提供的计划或服务的意见/反馈 - 问题提交地址 - [https://github.com/Akrites-Foundation/SIRT/issues](https://github.com/Akrites-Foundation/SIRT/issues) ### 会议时间 ### 治理 [CHARTER.md](./CHARTER.md) 概述了我们团队活动的范围和治理方式。 ### 项目维护者 - [CRob](https://github.com/SecurityCRob) - [Francis](u269c),Akrites SIRT 总监 - OSS-SIRT 团队负责人 4. 所有其他文档 * 知识共享署名 4.0 国际许可协议,可在 https://creativecommons.org/licenses/by/4.0/ 获取 **反垄断政策声明** Linux Foundation 的会议涉及行业竞争对手的参与,Linux Foundation 旨在根据适用的反垄断和竞争法开展其所有活动。因此,参会者严格遵守会议议程,并了解且不参与适用美国州、联邦或外国反垄断和竞争法所禁止的任何活动是极其重要的。 Linux Foundation 反垄断政策(可访问 http://www.linuxfoundation.org/antitrust-policy 获取)中描述了在 Linux Foundation 会议及与 Linux Foundation 活动相关的过程中被禁止的行为类型示例。如果您对此类事项有疑问,请联系您公司的法律顾问;如果您是 Linux Foundation 的成员,欢迎联系为 Linux Foundation 提供法律顾问的 Gesmer Updegrove LLP 律师事务所的 Andrew Updegrove。
标签:GPT, 协调披露, 安全运营, 库, 应急响应, 扫描框架, 漏洞管理, 防御加固