Advisory Database: jetzt offen für Community-Beiträge

Die Welt der Open-Source-Sicherheit ist schnelllebig, mit neuen Schwachstellen und verschiedenen Angriffsvektoren, die die Community dazu bringen, ständig mehr zu lernen. GitHub hat Teams von Sicherheitsforschern, die alle Änderungen überprüfen und dabei helfen, die Sicherheitshinweise auf dem neuesten Stand zu halten, aber oft gibt es Community-Mitglieder mit zusätzlichen Erkenntnissen und Informationen über CVEs, die keinen Platz haben, um dieses Wissen zu teilen. Das kann nun üer die GitHub Advisory Database erfolgen.

GitHub veröffentlicht den gesamten Inhalt der Advisory Database in einem neuen öffentlichen Repository, um es der Community zu erleichtern, von diesen Daten zu profitieren. Zudem wurde eine Benutzeroberfläche für Beiträge entwickelt. Die Daten sind unter einer Creative-Commons-Lizenz lizenziert, so dass sie für immer frei und von der Community nutzbar sind.

Die GitHub Advisory Database ist laut GitHub "die weltweit größte Datenbank für Schwachstellen in Software-Abhängigkeiten". Sie wird von einem Team von Vollzeit-Kuratoren gepflegt und unterstützt die Sicherheitsüberprüfung von npm und NuGet sowie die GitHub-eigenen Dependabot-Warnungen.

Weitere Informationen zur Advisory Database finden Sie in diese Blogbeitrag von GitHub-Mitarbeiterin Kate Catlin, auf dieser Seite der GitHub-Docs sowie in diesem Beitrag von Jürgen Gutsch.