GitHub 開源自建的安全漏洞修復(fù)建議數(shù)據(jù)庫

log4j 的漏洞大家還記得么，其實(shí)近些年來，針對(duì)開源軟件的漏洞頻發(fā)，各大科技公司也都在對(duì)自身的軟件供應(yīng)鏈安全上下功夫，畢竟安全問題無小事，出了問題可能公司就倒閉了。

另外如果你在 GitHub 上開源過代碼，如果代碼里面有漏洞或者風(fēng)險(xiǎn)的話，會(huì)有一個(gè) GitHub 官方的機(jī)器人 dependabot 自動(dòng)創(chuàng)建 PR 來幫助你修復(fù)漏洞。

那 GitHub 是如何做到的呢？當(dāng)然 GitHub 會(huì)掃描所有的開源代碼倉庫，找到有漏洞的代碼，但是應(yīng)該如何給出升級(jí)或者改進(jìn)的建議呢？

其實(shí) GitHub 一直很關(guān)注開源軟件的安全問題，所以內(nèi)部也一直有全職的安全團(tuán)隊(duì)在應(yīng)對(duì)這樣或者那樣的開源漏洞，并給出相應(yīng)的修復(fù)建議，通過不斷的積累就會(huì)變成一個(gè)大規(guī)模的數(shù)據(jù)集，之后通過和 dependabot 的結(jié)合幫助開源軟件的維護(hù)人快速的修復(fù)漏洞。

今天要介紹的開源項(xiàng)目 advisory-database（開源漏洞建議數(shù)據(jù)庫），來自 GitHub 公司的開源項(xiàng)目，希望更進(jìn)一步的幫助開源軟件的漏洞修復(fù)。

advisory-database 開源有三個(gè)目標(biāo)：將過往 GitHub 公司內(nèi)部積累的經(jīng)驗(yàn)開放；賦能社區(qū)中各領(lǐng)域有經(jīng)驗(yàn)的開發(fā)者建設(shè)漏洞建議社區(qū)；采用機(jī)器可讀的漏洞數(shù)據(jù)庫組織形式，方便其他軟件或者公司集成。

除此之外，GitHub 還專門定制了展示頁面，方便大家瀏覽和反饋漏洞的修復(fù)建議。

網(wǎng)站地址：https://github.com/advisories

如果你的公司也在關(guān)注開源軟件的安全問題，不妨和 GitHub 一起共同建設(shè)。更多項(xiàng)目詳情請(qǐng)查看如下鏈接。

開源項(xiàng)目地址：https://github.com/github/advisory-database

開源書籍&資料：點(diǎn)擊

點(diǎn)如下卡片后臺(tái)回復(fù)：1，與技術(shù)極客們一起交流開源項(xiàng)目，一起成長(zhǎng)。