ossf/SIRT
GitHub: ossf/SIRT
OpenSSF 旗下的开源软件安全事件响应团队,致力于通过协调漏洞披露实践降低开源生态系统的系统性安全风险。
Stars: 10 | Forks: 6
# OpenSSF OSS-SIRT
[](https://github.com/marketplace/actions/super-linter)
OSS-SIRT(开源软件安全事件响应团队)是 OpenSSF 及更广泛的 Linux 基金会内部的一个工作组,致力于在开源生态系统内创建安全的漏洞管理能力,以确保所有人都能采取有效的协调漏洞披露 (CVD) 实践。该小组将由来自整个行业的专家组成的协调团队,随时准备协助
开源维护者处理修复高影响安全漏洞及相关安全突发事件的所有事务
## 使命
OSS-SIRT 的使命是通过提供中立且尊重维护者的安全事件响应能力,降低开源软件中的系统性风险。该能力包括验证漏洞报告、协调修复、促成负责任的披露,以及向生态系统提供可信的漏洞数据。
## 愿景
打造一个具备韧性的开源生态系统,确保漏洞得到负责任的发现、快速的验证、有效的修复、清晰的披露,并可靠地传达给每一位依赖开源软件的利益相关者。
## 战略
OSS-SIRT 将通过过滤漏洞噪音、生成高质量的披露包、协调上下游修复、发布准确的漏洞元数据,并通过合作伙伴关系、工具和透明的指标扩展可重复的 CVD 实践,在开源安全生态系统中建立起一座值得信赖的运营桥梁。
## 我们对开源软件维护者和消费者的承诺
## 动机
从历史上看,开源维护者和最终用户一直依赖于信任圈来安全地分发和使用开源软件。在过去的几年中,随着针对开源维护者及其创建和维护的组件的攻击不断增加,这一概念已被证明存在缺陷且本身就不够理想。实际上,这些问题表明,我们需要付出更多的努力和工作,以确保维护者的消费者和最终用户能够安全地使用开源软件,同时满足他们的需求,并以最小的摩擦实现他们维护软件的整体意图和目标。就目前而言,这类工作传统上是项目维护者团队的责任;然而,维护者往往已经缺乏足够的资源来充分解决自身的需求,更不用说承担为了以任何使用者都能接受的安全方式开发和提供其开源组件而要求他们完成的额外工作了。向本已压力重重的 pipeline 和负担过重的维护者堆砌更多的工作,往往会导致安全问题无法被优先处理,直到安全问题变得迫在眉睫,而这对于项目的消费者和最终用户来说通常为时已晚。
## 目标/范围
组建一支值得信赖、厂商中立、经过审查、协调良好且经验丰富的网络安全专业人员队伍,以协助生态系统快速、高效、安全地协调开源软件项目中发现的漏洞披露。
**_明确不属于本范围:_**
- 任何涉及闭源/专有软件漏洞的事务
- 对开源软件的安全性改进,且对于
修补开源软件中新报告的高影响和严重影响漏洞并非具有战术必要性的事项
- 协助项目或个别企业修复因其他开源项目的安全漏洞而暴露出的安全问题
## 参与其中
- 官方交流在 [OSSF OSS-SIRT 邮件列表](https://lists.openssf.org/g/openssf-sig-osssirt/topics)上进行。
[管理您对 Open SSF 邮件列表的订阅](https://lists.openssf.org/g/main/subgroups)。
- Slack 频道 - [OSS-SIRT]( ),
综合讨论 [漏洞披露工作组](https://openssf.slack.com/messages/wg_vulnerability_disclosures)
### 快速开始
- 需要贡献的领域
- 对您希望 OSS-SIRT 提供的计划或服务的意见/反馈
- 问题提交地址 - [https://github.com/ossf/SIRT/issues](https://github.com/ossf/SIRT/issues)
### 会议时间
### 治理
[CHARTER.md](./CHARTER.md) 概述了我们小组活动的范围和治理方式。
### 项目维护者
- [CRob](https://github.com/SecurityCRob)
- OSS-SIRT 总监
- OSS-SIRT 团队负责人
### 项目协作者
## 使命
OSS-SIRT 的使命是通过提供中立且尊重维护者的安全事件响应能力,降低开源软件中的系统性风险。该能力包括验证漏洞报告、协调修复、促成负责任的披露,以及向生态系统提供可信的漏洞数据。
## 愿景
打造一个具备韧性的开源生态系统,确保漏洞得到负责任的发现、快速的验证、有效的修复、清晰的披露,并可靠地传达给每一位依赖开源软件的利益相关者。
## 战略
OSS-SIRT 将通过过滤漏洞噪音、生成高质量的披露包、协调上下游修复、发布准确的漏洞元数据,并通过合作伙伴关系、工具和透明的指标扩展可重复的 CVD 实践,在开源安全生态系统中建立起一座值得信赖的运营桥梁。
## 我们对开源软件维护者和消费者的承诺
## 动机
从历史上看,开源维护者和最终用户一直依赖于信任圈来安全地分发和使用开源软件。在过去的几年中,随着针对开源维护者及其创建和维护的组件的攻击不断增加,这一概念已被证明存在缺陷且本身就不够理想。实际上,这些问题表明,我们需要付出更多的努力和工作,以确保维护者的消费者和最终用户能够安全地使用开源软件,同时满足他们的需求,并以最小的摩擦实现他们维护软件的整体意图和目标。就目前而言,这类工作传统上是项目维护者团队的责任;然而,维护者往往已经缺乏足够的资源来充分解决自身的需求,更不用说承担为了以任何使用者都能接受的安全方式开发和提供其开源组件而要求他们完成的额外工作了。向本已压力重重的 pipeline 和负担过重的维护者堆砌更多的工作,往往会导致安全问题无法被优先处理,直到安全问题变得迫在眉睫,而这对于项目的消费者和最终用户来说通常为时已晚。
## 目标/范围
组建一支值得信赖、厂商中立、经过审查、协调良好且经验丰富的网络安全专业人员队伍,以协助生态系统快速、高效、安全地协调开源软件项目中发现的漏洞披露。
**_明确不属于本范围:_**
- 任何涉及闭源/专有软件漏洞的事务
- 对开源软件的安全性改进,且对于
修补开源软件中新报告的高影响和严重影响漏洞并非具有战术必要性的事项
- 协助项目或个别企业修复因其他开源项目的安全漏洞而暴露出的安全问题
## 参与其中
- 官方交流在 [OSSF OSS-SIRT 邮件列表](https://lists.openssf.org/g/openssf-sig-osssirt/topics)上进行。
[管理您对 Open SSF 邮件列表的订阅](https://lists.openssf.org/g/main/subgroups)。
- Slack 频道 - [OSS-SIRT]( ),
综合讨论 [漏洞披露工作组](https://openssf.slack.com/messages/wg_vulnerability_disclosures)
### 快速开始
- 需要贡献的领域
- 对您希望 OSS-SIRT 提供的计划或服务的意见/反馈
- 问题提交地址 - [https://github.com/ossf/SIRT/issues](https://github.com/ossf/SIRT/issues)
### 会议时间
### 治理
[CHARTER.md](./CHARTER.md) 概述了我们小组活动的范围和治理方式。
### 项目维护者
- [CRob](https://github.com/SecurityCRob)
- OSS-SIRT 总监
- OSS-SIRT 团队负责人
### 项目协作者标签:GPT, 安全治理, 库, 应急响应, 漏洞披露, 漏洞管理, 防御加固