सार्वजनिक रिपॉजिटरी बेस्ट हैंडल पुल अनुरोधों (PRs) के साथ एक ओपन सोर्स प्रोजेक्ट कैसे होना चाहिए जो सुरक्षित रूप से रिपोर्ट किया गया है लेकिन अभी तक सार्वजनिक रूप से सुरक्षा कमजोरियों का खुलासा नहीं किया गया है?
मैं कई सौ योगदानकर्ताओं के साथ एक ओपन सोर्स प्रोजेक्ट में शामिल हूं। हम नियमित रूप से निर्धारित मासिक रिलीज के हिस्से के रूप में एक वर्ष में कई बार सुरक्षा नोटिस और भेद्यता प्रकाशित करते हैं। हम कमजोरियों के बारे में जानकारी तब तक प्रकाशित नहीं करते हैं जब तक हम पैच किए गए संस्करण को उपलब्ध नहीं कराते हैं। हम अपनी परियोजना प्रबंधन प्रणाली (JIRA) में सुरक्षा मुद्दों को सुरक्षित रूप से प्रबंधित करने में सक्षम हैं। लेकिन हमें PRS को अस्पष्ट करने के लिए एक अच्छी प्रक्रिया नहीं मिली है जो सुरक्षा कमजोरियों को ठीक करते हैं क्योंकि वे GitHub को सबमिट किए जाते हैं। हम चिंतित हैं कि लोग इन सुधारों को रिलीज़ होने से पहले पा सकते हैं और शून्य दिन के कारनामे बना सकते हैं।
हमने निजी रेपो का उपयोग करने पर विचार किया है जो मुख्य रेपो को कांटा करता है, लेकिन वर्तमान में हमारी अधिकांश समीक्षा और क्यूए वर्कफ़्लो पीआर पर होता है। यदि हम वर्कफ़्लो को केवल एक सुरक्षा टीम में स्थानांतरित करते हैं, तो वह निजी रेपो है, जो विंडो को तब कम कर देगा, जब टारबॉल उत्पन्न करने में लगने वाले घंटों को सार्वजनिक कर दिया जाए और उन्हें सोर्सफोर्ज पर प्रकाशित कर दिया जाए, जो एक बड़ा सुधार होगा। हमें अपने सार्वजनिक बीटा में पीआर को मर्ज करने से बचने की भी आवश्यकता होगी।
उस दिशा में जाने से पहले, मैं यह जानना चाहूंगा कि खुले स्रोत के साथ खुले स्रोत परियोजनाओं में पूर्व-रिलीज़ सुरक्षा बग फिक्स पैच को संभालने के लिए सबसे अच्छा अभ्यास क्या है? यदि समस्या को GitHub की तुलना में एक अलग मंच का उपयोग करके बेहतर तरीके से संबोधित किया जा सकता है, तो मुझे यह उल्लेख करना चाहिए कि हम GitLab की ओर पलायन का मूल्यांकन कर रहे हैं।