Як проект з відкритим кодом із загальнодоступним сховищем найкраще обробляє запити на виклик (PR-адреси), які надійно адресують, але ще не публічно розкривають уразливості безпеки?
Я беру участь у проекті з відкритим кодом з кількома сотнями учасників. Ми публікуємо повідомлення та вразливості безпеки кілька разів на рік у рамках регулярного планового щомісячного випуску. Ми не публікуємо інформацію про вразливості, поки не зробимо доступ до виправленої версії. Ми можемо надійно керувати питаннями безпеки в нашій системі управління проектами (JIRA). Але ми не маємо гарного процесу для затемнення PR, які виправляють вразливості безпеки під час подання їх на GitHub. Ми стурбовані тим, що люди можуть знайти ці виправлення ще до їх звільнення та створення нульових подвигів.
Ми розглядали можливість використання приватних репостів, які розщеплюють головне репо, але значна частина нашого огляду і поточного контролю якості відбувається на PR. Якби ми перемістили робочий процес до команди безпеки лише приватного репо, це зменшило б вікно, коли виправлення є загальнодоступним, до годин, необхідних для створення тарілок та публікації їх у sourceforge, що було б великим вдосконаленням. Ми також, ймовірно, повинні уникати об'єднання PR в нашу загальнодоступну бета-версію.
Перш ніж піти в цьому напрямку, я хотів би дізнатися, яка найкраща практика поводження з виправленнями виправлень помилок попереднього випуску у проектах з відкритим кодом із відкритими репостами? Якщо проблему можна краще вирішити за допомогою іншої платформи, ніж GitHub, я повинен зазначити, що ми оцінюємо перехід на GitLab.