Làm thế nào một dự án nguồn mở với kho lưu trữ công cộng xử lý tốt nhất các yêu cầu kéo (PR) giải quyết các báo cáo an toàn nhưng chưa được tiết lộ công khai các lỗ hổng bảo mật?
Tôi đang tham gia vào một dự án nguồn mở với hàng trăm người đóng góp. Chúng tôi xuất bản các thông báo bảo mật và lỗ hổng bảo mật nhiều lần trong năm như một phần của bản phát hành hàng tháng được lên lịch thường xuyên. Chúng tôi không công bố thông tin về các lỗ hổng cho đến khi chúng tôi cung cấp phiên bản vá. Chúng tôi có thể quản lý an toàn các vấn đề bảo mật trong hệ thống quản lý dự án của chúng tôi (JIRA). Nhưng chúng tôi chưa có một quy trình tốt để che khuất các PR sửa các lỗ hổng bảo mật khi chúng được gửi tới GitHub. Chúng tôi lo ngại rằng mọi người có thể tìm thấy các bản sửa lỗi này trước khi chúng được phát hành và tạo ra các khai thác không ngày.
Chúng tôi đã xem xét sử dụng các repos riêng rẽ nhánh repo chính, nhưng phần lớn quy trình hiện tại của chúng tôi xem xét và QA xảy ra trên các PR. Nếu chúng tôi chuyển quy trình công việc sang một nhóm bảo mật chỉ là repo riêng, điều đó sẽ làm giảm cửa sổ khi sửa lỗi công khai xuống hàng giờ để tạo tarball và xuất bản chúng trên sourceforge, đây sẽ là một cải tiến lớn. Chúng tôi cũng có thể cần tránh hợp nhất các PR vào phiên bản beta công khai của chúng tôi.
Trước khi đi theo hướng đó, tôi muốn biết cách thực hành tốt nhất để xử lý các bản vá sửa lỗi bảo mật trước khi phát hành trong các dự án nguồn mở với repos mở là gì? Nếu vấn đề có thể được giải quyết tốt hơn bằng cách sử dụng một nền tảng khác với GitHub, tôi nên đề cập đến việc chúng tôi đang đánh giá việc di chuyển sang GitLab.