De GitHub Advisory Database, een database van kwetsbaarheden voor open source software, staat nu open voor iedereen die wil meehelpen de veiligheid van software te verbeteren. Bijdragen worden wel gecureerd door de experts van GitHub.

De GitHub Advisory Database is de grootste database van kwetsbaarheden voor (open source) software ter wereld en wordt door een speciaal team van GitHub onderhouden. De database ondersteunt onder meer npm en NuGet, maar ook de eigen Dependabot-alerts van GitHub. Voor het verbeteren van deze security-informatie wordt de database nu opengesteld voor de community

Open repository met user interface

De inhoud van de GitHub Advisory Database -die alleen voor de eigen medewerkers toegankelijk was- wordt nu in een nieuwe openbare repository gepubliceerd. Aan deze openbare repository is een user interface toegevoegd, waarmee de community van open source-ontwikkelaars en -gebruikers zelf informatie en inzichten aan de gepubliceerde kwetsbaarheden of CVE’s kunnen bijdragen.

Alle informatie komt vervolgens beschikbaar onder een Creative Commons-licentie, zodat de community deze altijd en gratis kan blijven gebruiken. Uiteindelijk moet dit de veiligheid van (open source) software beter maken, zo is de gedachte van GitHub.

Workflow voor bijdragen

Security-experts kunnen hun inzichten of oplossingen voor gemelde kwetsbaarheden nu toevoegen via een link in het bewuste CVE-advies. Deze link leidt naar een formulier waarin zij hun inzichten of extra informatie over deze kwetsbaarheid kwijt kunnen. Denk daarbij aan meer context over packages, versies die van de kwetsbaarheid last hebben of welke impact de kwetsbaarheid op ecosystemen heeft.

Het formulier helpt de experts bij het openen van een pull request voor het doorvoeren van de gestelde veranderingen. Als deze pull request openstaat, kijken de securityexperts van GitHub Security Labs -en indien mogelijk de persoon die de kwetsbaarheid heeft ontdekt- naar de voorgestelde aanpassingen. Wanneer zij groen licht geven, wordt de aanpassing doorgevoerd. Deelnemers krijgen dan op hun GitHub-profiel een officiële erkenning voor deze bijdrage.

Open Source Vulnerabilities (OSV) format

Voor alle bijdragen wordt door de GitHub Advisory Database repository het Open Source Vulnerabilities (OSV) format gebruikt. Dit gestandaardiseerde format helpt kwetsbaarheden voor open source toepassingen makkelijker te beheren. Het format maakt het mogelijk securityadviezen op te schalen, zodat ze bij een breder publiek bekend worden en experts hier makkelijker aan kunnen bijdragen.