ossf/wg-vulnerability-disclosures
GitHub: ossf/wg-vulnerability-disclosures
OpenSSF 漏洞披露工作组致力于通过制定指南、标准和工具,规范并简化开源软件生态中的协调漏洞披露流程。
Stars: 221 | Forks: 46
# 漏洞披露
OpenSSF 漏洞披露工作组旨在通过促进和倡导管理良好的漏洞报告与沟通,帮助提升开源软件生态系统的整体安全性。
漏洞披露工作组是 OpenSSF 内部的 [毕业级](https://github.com/ossf/tac/blob/main/process/working-group-lifecycle.md) 工作组。 
## 使命
OpenSSF 漏洞披露工作组旨在通过协助制定和倡导管理良好的漏洞报告与沟通,帮助提升开源软件生态系统的整体安全性。我们服务于开源维护者和开发者,协助安全研究员,并帮助下方的开源软件消费者。
## 愿景
致力于打造这样一个世界:协调漏洞披露成为一个受到为维护者、消费者、研究员和供应商提供的指南、自动化和工具支持的常规、简便且符合预期的流程,旨在让开源软件和开源软件供应链对每个人来说都更加安全。
在这个世界里,协调漏洞披露:
- 是一个常规、简便且符合预期的流程
- 受到为开源维护者和消费者、安全研究员以及供应商提供的、记录详尽的指南、自动化和工具的支持
- 旨在让开源软件和供应链对每个人来说都更加安全。
## 战略
我们计划通过以下行动来应对这一挑战:
- 通过提供文档化的指南和教育材料,为组件维护者和社区成员记录并推广 OSS 生态系统内合理的漏洞披露和协调实践。
- 识别 OSS 维护者、消费者和安全研究员在漏洞披露方面的痛点和激励因素,并采取措施加以解决。
- 促进基于标准的 OSS 漏洞交换中心(VEX)的开发和采用,该中心使用现有的行业格式,并允许各种规模的 OSS 项目能够报告、分享和了解 OSS 组件中的漏洞。
## 路线图
- 通过播客、会议演讲、博客等形式,推广该小组的产出物和工具,例如 CVD 指南、OSV 和 VEX 相关内容
-- 播客
-- 博客
-- 会议
-- 举办开放办公时间,与开源项目经理互动并为他们提供帮助。
- 利用 OSS-SIRT SIG 总结的良好实践,支持全行业的漏洞协调工作
- 通过倡导和使用 VEX 及 VEX 创建工具(如 OpenVEX),扩大上游项目对 VEX 的使用。上游发布 VEX 文档有助于整个生态系统了解需求及如何有效执行,从而为下游消费者提供关键的漏洞影响数据,使他们了解如何与其他漏洞信息(CSAF、OSV、SBOM 等)整合。
- 提高对 CVD 指南、技术和工具的认识与使用
- 提高对 OSV 的认识与使用
- 参加即将举行的行业“VulnCon”及相关会议,向广泛的 PSIRT/CSIRT/CERT 生态系统分享 OSS 漏洞管理视角
- 为 OpenSSF 和更广泛的 OSS 社区提供指南、文档和模板,用作安全策略和漏洞管理流程(security.md、漏洞披露策略等)
## 当前工作
- [开源软件项目协调漏洞披露指南](https://github.com/ossf/oss-vulnerability-guide) ,协助项目处理漏洞。
- [开源漏洞 Schema](https://github.com/ossf/osv-schema) - 另请参阅 [osv.dev](https://osv.dev)。
- [OpenVEX SIG](https://github.com/ossf/OpenVEX) (沙箱阶段) - 致力于 OpenVEX 和 VEX 行业工作的团队。OpenVEX 是漏洞可利用性交换(Vulnerability Exploitability Exchange,简称 VEX)的一种实现,其设计初衷是保持极简、合规、可互操作且可嵌入。
- [开源项目成为 CNA 的指南](https://github.com/ossf/wg-vulnerability-disclosures/blob/main/docs/guides/becoming-a-cna-as-an-open-source-org-or-project.md)
## 过往工作
- [统一漏洞报告与披露的元数据列表](https://docs.google.com/spreadsheets/d/1eZpBk2aIup29KcWwN5MAhvkk60EE_DRt2YRtLo8P0zs/edit?usp=sharing)
- [OpenSSF 开源软件漏洞披露建议白皮书](https://docs.google.com/document/d/1ggvl7_p7-tmieP5He1dSmRbndDz1CG2_BqNpk6ss6ks/edit) (孵化阶段) - 一篇探讨各种相关主题的长篇草案
- [OSS-SIRT SIG](https://github.com/ossf/SIRT) (孵化阶段) - 致力于更新 OpenSSF 动员计划第 5 流的 SIG,致力于创建上游开源事件响应团队。
- Vulnerability AutoFix SIG (孵化阶段) - 致力于寻找向项目大规模披露开源漏洞及修复的最佳实践的团队
## 会议时间
工作组每两周开会一次,时间为美国东部时间 (ET) 周三上午 11:00 / 太平洋时间 (PT) 上午 8:00。目前我们使用 Zoom 进行工作组会议。会议邀请可在 [OpenSSF 社区日历](https://calendar.google.com/calendar?cid=czYzdm9lZmhwNWk5cGZsdGI1cTY3bmdwZXNAZ3JvdXAuY2FsZW5kYXIuZ29vZ2xlLmNvbQ) 上获取。
工作组将于每月最后一个周四美国东部时间 (ET) 下午 6:00 / 太平洋时间 (PT) 下午 3:00 举行适合亚太地区 (APAC) 的电话会议。会议邀请可在 [OpenSSF 社区日历](https://calendar.google.com/calendar?cid=czYzdm9lZmhwNWk5cGZsdGI1cTY3bmdwZXNAZ3JvdXAuY2FsZW5kYXIuZ29vZ2xlLmNvbQ) 上获取。
| 项目 | 会议时间 | 会议纪要/议程 | Git 仓库 | Slack 频道 | 邮件列表 |
| :--------------: | :-----------------------------------------------------: | :---------------------------------------------------------------------------------------------------------------: | :--------------------------------------------------------------: | :----------------------------------------------------------------------------: | :----------------------------------------------------------------------------: |
| 全体工作组 | 每月第 2 个周三 PT 上午 8:00/ET 上午 11:00/1500 UTC | [会议纪要](https://docs.google.com/document/d/11JMM5w2tBQugbRQIbgq6TX76TjZj2d9eCcUK3dR03V4/) | [Git 仓库](https://github.com/ossf/wg-vulnerability-disclosures) | [Slack](https://openssf.slack.com/archives/C019Y2A28Q6) | [邮件列表](https://lists.openssf.org/g/openssf-wg-vul-disclosures) |
| 工作组 - 亚太时区 | 每月最后一个周四 PT 下午 3:00/ET 下午 6:00/2200 UTC | [会议纪要](https://docs.google.com/document/d/11JMM5w2tBQugbRQIbgq6TX76TjZj2d9eCcUK3dR03V4/) | [Git 仓库](https://github.com/ossf/wg-vulnerability-disclosures) | [Slack](https://openssf.slack.com/archives/C019Y2A28Q6) | [邮件列表](https://lists.openssf.org/g/openssf-wg-vul-disclosures) |
| OSV schema | 待定 | [会议纪要]() | [Git 仓库](https://github.com/ossf/osv-schema) | [Slack]() | [邮件列表]() |
| OpenVEX | 每月第 2 个周一 PT 下午 12:00/ET 下午 3:00/1900 UTC | [会议纪要](https://docs.google.com/document/d/1C-L0JDx5O35TjXb6dcyL6ioc5xWUCkdR5kEbZ1uVQto/edit?usp=sharing) | [Git 仓库](https://github.com/ossf/OpenVEX) | [Slack](https://openssf.slack.com/archives/C05009RHCNT) | [邮件列表](https://lists.openssf.org/g/openssf-sig-openvex) |
### **会议纪要**
- [2026 年会议纪要](https://docs.google.com/document/d/11JMM5w2tBQugbRQIbgq6TX76TjZj2d9eCcUK3dR03V4/)
- [2025 年会议纪要](https://docs.google.com/document/d/1TdxiFofLOfpHUEQILlKq7qkjSsRXVab0uApSDJ8c5rI/)
- [2024 年会议纪要](https://docs.google.com/document/d/1AXkapzjZ-SxwcBN7rZeSstkzdapd3sbzfHDxz6A59Ic/)
- [2023 年会议纪要](https://docs.google.com/document/d/1wSugi_EjgQ6ttINg1yXqsVAO9V3B-v2jdQT1RX22MZQ/edit?usp=sharing)
- [2022 年会议纪要](https://docs.google.com/document/d/1jzqhW9SK9QRA39fQz0RiAkvpRWB0xztt1TAFJEseTlA/edit?usp=sharing)
- [2021 年会议纪要](https://docs.google.com/document/d/1v9WKzitA7fxGwkP8j3nanXYbzhkkgCDpQYBNI0lDJfY/edit#)
- [2021 年以前的会议纪要](docs/meeting-notes)
## 治理
我们使用 [wg-vulnerability-disclosures](https://github.com/orgs/ossf/teams/wg-vulnerability-disclosures/teams) GitHub 团队。
[CHARTER.md](CHARTER.md) 概述了我们小组活动的范围和治理方式。
- 负责人 - [Christopher "CRob" Robinson](https://github.com/SecurityCRob)
- 联合负责人 - [Madison Oliver, GitHub Security Lab](https://github.com/)
我们当前和过往的小组[成员](https://github.com/ossf/wg-vulnerability-disclosures/blob/main/members.md)名单。
## 反垄断政策通知
Linux 基金会会议涉及行业竞争对手的参与,Linux 基金会的宗旨是遵照适用的反垄断和竞争法律开展其所有活动。因此,与会者务必严格遵守会议议程,并了解且不参与适用美国州立、联邦或外国反垄断和竞争法律所禁止的任何活动,这一点至关重要。
在 Linux 基金会会议上及与 Linux 基金会活动相关的情况下被禁止的行为类型示例,请参阅 上的 Linux 基金会反垄断政策说明。如果您对此有疑问,请联系您公司的法律顾问;若您是 Linux 基金会成员,欢迎联系为 Linux 基金会提供法律顾问服务的 Gesmer Updegrove LLP 律师事务所的 Andrew Updegrove。
## 使命
OpenSSF 漏洞披露工作组旨在通过协助制定和倡导管理良好的漏洞报告与沟通,帮助提升开源软件生态系统的整体安全性。我们服务于开源维护者和开发者,协助安全研究员,并帮助下方的开源软件消费者。
## 愿景
致力于打造这样一个世界:协调漏洞披露成为一个受到为维护者、消费者、研究员和供应商提供的指南、自动化和工具支持的常规、简便且符合预期的流程,旨在让开源软件和开源软件供应链对每个人来说都更加安全。
在这个世界里,协调漏洞披露:
- 是一个常规、简便且符合预期的流程
- 受到为开源维护者和消费者、安全研究员以及供应商提供的、记录详尽的指南、自动化和工具的支持
- 旨在让开源软件和供应链对每个人来说都更加安全。
## 战略
我们计划通过以下行动来应对这一挑战:
- 通过提供文档化的指南和教育材料,为组件维护者和社区成员记录并推广 OSS 生态系统内合理的漏洞披露和协调实践。
- 识别 OSS 维护者、消费者和安全研究员在漏洞披露方面的痛点和激励因素,并采取措施加以解决。
- 促进基于标准的 OSS 漏洞交换中心(VEX)的开发和采用,该中心使用现有的行业格式,并允许各种规模的 OSS 项目能够报告、分享和了解 OSS 组件中的漏洞。
## 路线图
- 通过播客、会议演讲、博客等形式,推广该小组的产出物和工具,例如 CVD 指南、OSV 和 VEX 相关内容
-- 播客
-- 博客
-- 会议
-- 举办开放办公时间,与开源项目经理互动并为他们提供帮助。
- 利用 OSS-SIRT SIG 总结的良好实践,支持全行业的漏洞协调工作
- 通过倡导和使用 VEX 及 VEX 创建工具(如 OpenVEX),扩大上游项目对 VEX 的使用。上游发布 VEX 文档有助于整个生态系统了解需求及如何有效执行,从而为下游消费者提供关键的漏洞影响数据,使他们了解如何与其他漏洞信息(CSAF、OSV、SBOM 等)整合。
- 提高对 CVD 指南、技术和工具的认识与使用
- 提高对 OSV 的认识与使用
- 参加即将举行的行业“VulnCon”及相关会议,向广泛的 PSIRT/CSIRT/CERT 生态系统分享 OSS 漏洞管理视角
- 为 OpenSSF 和更广泛的 OSS 社区提供指南、文档和模板,用作安全策略和漏洞管理流程(security.md、漏洞披露策略等)
## 当前工作
- [开源软件项目协调漏洞披露指南](https://github.com/ossf/oss-vulnerability-guide) ,协助项目处理漏洞。
- [开源漏洞 Schema](https://github.com/ossf/osv-schema) - 另请参阅 [osv.dev](https://osv.dev)。
- [OpenVEX SIG](https://github.com/ossf/OpenVEX) (沙箱阶段) - 致力于 OpenVEX 和 VEX 行业工作的团队。OpenVEX 是漏洞可利用性交换(Vulnerability Exploitability Exchange,简称 VEX)的一种实现,其设计初衷是保持极简、合规、可互操作且可嵌入。
- [开源项目成为 CNA 的指南](https://github.com/ossf/wg-vulnerability-disclosures/blob/main/docs/guides/becoming-a-cna-as-an-open-source-org-or-project.md)
## 过往工作
- [统一漏洞报告与披露的元数据列表](https://docs.google.com/spreadsheets/d/1eZpBk2aIup29KcWwN5MAhvkk60EE_DRt2YRtLo8P0zs/edit?usp=sharing)
- [OpenSSF 开源软件漏洞披露建议白皮书](https://docs.google.com/document/d/1ggvl7_p7-tmieP5He1dSmRbndDz1CG2_BqNpk6ss6ks/edit) (孵化阶段) - 一篇探讨各种相关主题的长篇草案
- [OSS-SIRT SIG](https://github.com/ossf/SIRT) (孵化阶段) - 致力于更新 OpenSSF 动员计划第 5 流的 SIG,致力于创建上游开源事件响应团队。
- Vulnerability AutoFix SIG (孵化阶段) - 致力于寻找向项目大规模披露开源漏洞及修复的最佳实践的团队
## 会议时间
工作组每两周开会一次,时间为美国东部时间 (ET) 周三上午 11:00 / 太平洋时间 (PT) 上午 8:00。目前我们使用 Zoom 进行工作组会议。会议邀请可在 [OpenSSF 社区日历](https://calendar.google.com/calendar?cid=czYzdm9lZmhwNWk5cGZsdGI1cTY3bmdwZXNAZ3JvdXAuY2FsZW5kYXIuZ29vZ2xlLmNvbQ) 上获取。
工作组将于每月最后一个周四美国东部时间 (ET) 下午 6:00 / 太平洋时间 (PT) 下午 3:00 举行适合亚太地区 (APAC) 的电话会议。会议邀请可在 [OpenSSF 社区日历](https://calendar.google.com/calendar?cid=czYzdm9lZmhwNWk5cGZsdGI1cTY3bmdwZXNAZ3JvdXAuY2FsZW5kYXIuZ29vZ2xlLmNvbQ) 上获取。
| 项目 | 会议时间 | 会议纪要/议程 | Git 仓库 | Slack 频道 | 邮件列表 |
| :--------------: | :-----------------------------------------------------: | :---------------------------------------------------------------------------------------------------------------: | :--------------------------------------------------------------: | :----------------------------------------------------------------------------: | :----------------------------------------------------------------------------: |
| 全体工作组 | 每月第 2 个周三 PT 上午 8:00/ET 上午 11:00/1500 UTC | [会议纪要](https://docs.google.com/document/d/11JMM5w2tBQugbRQIbgq6TX76TjZj2d9eCcUK3dR03V4/) | [Git 仓库](https://github.com/ossf/wg-vulnerability-disclosures) | [Slack](https://openssf.slack.com/archives/C019Y2A28Q6) | [邮件列表](https://lists.openssf.org/g/openssf-wg-vul-disclosures) |
| 工作组 - 亚太时区 | 每月最后一个周四 PT 下午 3:00/ET 下午 6:00/2200 UTC | [会议纪要](https://docs.google.com/document/d/11JMM5w2tBQugbRQIbgq6TX76TjZj2d9eCcUK3dR03V4/) | [Git 仓库](https://github.com/ossf/wg-vulnerability-disclosures) | [Slack](https://openssf.slack.com/archives/C019Y2A28Q6) | [邮件列表](https://lists.openssf.org/g/openssf-wg-vul-disclosures) |
| OSV schema | 待定 | [会议纪要]() | [Git 仓库](https://github.com/ossf/osv-schema) | [Slack]() | [邮件列表]() |
| OpenVEX | 每月第 2 个周一 PT 下午 12:00/ET 下午 3:00/1900 UTC | [会议纪要](https://docs.google.com/document/d/1C-L0JDx5O35TjXb6dcyL6ioc5xWUCkdR5kEbZ1uVQto/edit?usp=sharing) | [Git 仓库](https://github.com/ossf/OpenVEX) | [Slack](https://openssf.slack.com/archives/C05009RHCNT) | [邮件列表](https://lists.openssf.org/g/openssf-sig-openvex) |
### **会议纪要**
- [2026 年会议纪要](https://docs.google.com/document/d/11JMM5w2tBQugbRQIbgq6TX76TjZj2d9eCcUK3dR03V4/)
- [2025 年会议纪要](https://docs.google.com/document/d/1TdxiFofLOfpHUEQILlKq7qkjSsRXVab0uApSDJ8c5rI/)
- [2024 年会议纪要](https://docs.google.com/document/d/1AXkapzjZ-SxwcBN7rZeSstkzdapd3sbzfHDxz6A59Ic/)
- [2023 年会议纪要](https://docs.google.com/document/d/1wSugi_EjgQ6ttINg1yXqsVAO9V3B-v2jdQT1RX22MZQ/edit?usp=sharing)
- [2022 年会议纪要](https://docs.google.com/document/d/1jzqhW9SK9QRA39fQz0RiAkvpRWB0xztt1TAFJEseTlA/edit?usp=sharing)
- [2021 年会议纪要](https://docs.google.com/document/d/1v9WKzitA7fxGwkP8j3nanXYbzhkkgCDpQYBNI0lDJfY/edit#)
- [2021 年以前的会议纪要](docs/meeting-notes)
## 治理
我们使用 [wg-vulnerability-disclosures](https://github.com/orgs/ossf/teams/wg-vulnerability-disclosures/teams) GitHub 团队。
[CHARTER.md](CHARTER.md) 概述了我们小组活动的范围和治理方式。
- 负责人 - [Christopher "CRob" Robinson](https://github.com/SecurityCRob)
- 联合负责人 - [Madison Oliver, GitHub Security Lab](https://github.com/)
我们当前和过往的小组[成员](https://github.com/ossf/wg-vulnerability-disclosures/blob/main/members.md)名单。
## 反垄断政策通知
Linux 基金会会议涉及行业竞争对手的参与,Linux 基金会的宗旨是遵照适用的反垄断和竞争法律开展其所有活动。因此,与会者务必严格遵守会议议程,并了解且不参与适用美国州立、联邦或外国反垄断和竞争法律所禁止的任何活动,这一点至关重要。
在 Linux 基金会会议上及与 Linux 基金会活动相关的情况下被禁止的行为类型示例,请参阅 标签:Google Gemini, GPT, OpenSSF, 协同披露, 安全社区, 漏洞披露, 漏洞管理, 红队平台, 软件供应链安全, 远程方法调用