Dalam upaya untuk lebih mengamankan open source software, GitHub telah mengumumkan bahwa Advisory Database GitHub bakal terbuka untuk publik, melalui sebuah fitur bernama kontribusi komunitas.
Dilansir dari laman techradar.com, meskipun GitHub memiliki tim peneliti keamanannya sendiri yang dengan cermat meninjau semua perubahan dan membantu menjaga agar saran keamanan tetap mutakhir, anggota komunitas sering kali memiliki wawasan dan kecerdasan tambahan tentang CVE tetapi tidak memiliki tempat untuk berbagi pengetahuan semacam itu.
Itulah yang melatarbelakangi mengapa GitHub memublikasikan konten lengkap Advisory Database-nya ke repositori publik baru, alasannya adalah untuk memudahkan komunitas memanfaatkan data ini.
Pada saat yang sama, perusahaan juga telah membangun new user interface agar para peneliti keamanan, akademisi, dan para penggunanya dapat memberikan kontribusi.
Semua data dalam GitHub Advisory Database dilisensikan di bawah lisensi Creative Commons. Dan database dibuat untuk memastikannya tetap gratis dan dapat digunakan oleh komunitas.
Untuk memberikan kontribusi komunitas pada security advisory, pengguna GitHub pertama-tama harus menavigasi saran yang ingin mereka sumbangkan, lalu mengirimkan riset mereka dengan memilih fitur “sarankan peningkatan untuk kerentanan ini”.
Di sini mereka dapat menyarankan perubahan atau memberikan lebih banyak konteks pada paket, versi yang terpengaruh, ekosistem yang terpengaruh, dan masih banyak lagi.
Formulir yang ada kemudian akan memandu pengguna melewati fitur “opening a pull request”, yang merinci perubahan yang hendak disarankan.
Setelah ini selesai, para peneliti keamanan dari GitHub Security Lab, serta pengelola proyek yang mengajukan CVE akan dapat meninjau permintaan tersebut.
Kontributor juga akan mendapatkan reputasi publik di profil GitHub mereka, setelah kontribusi mereka ditambahkan.
Dalam upaya untuk interoperabilitas lebih lanjut, saran dalam GitHub Advisory Database Repository menggunakan format Open Source Vulnerabilities (OSV).
Software Engineer untuk Tim Keamanan Open Source-nya Google, Oliver Chang, memberikan rincian lebih lanjut tentang format OSV dalam sebuah postingan blog, dengan mengatakan:
“Agar manajemen kerentanan dalam open source dapat terukur, security advisories harus dapat diakses secara luas dan dengan mudah dikontribusikan oleh semua orang. Dan OSV menyediakan kemampuan itu”, jelasnya.
Pihaknya kemungkinan juga akan lebih banyak membahas perubahan ini pada GitHub Advisory Database, setelah peneliti keamanan, akademisi, dan para pengguna mulai memberikan kontribusi mereka sendiri ke database perusahaan.
Baca juga Serunya Coding Anak Bareng Grup Band Internasional
