文章泉源:OpenJS基金会
本年4月,OpenJS基金会发表,开源平安基金会(OpenSSF)抉择了Node.js做为他们协助改进供给链平安的初始项目[1]。做为OpenSSF的Alpha-Omega项目标一部份,30万美元给答应在年残剩功夫内扶助Node.js平安团队和弱点挽救处事。要点是扶助更好的开源平安准则和理论。参考Node.js的Alpha-Omega栈房[2]。
自从发表以来,OpenJS很快投入了新的OpenSSF平安扶助资本[3]。曾经最先设立更好的商量和过程,而且曾经形成了影响。
譬喻,平安处事组[4]正在议论的平安模子来改良平安过程。曾经界说好完毕构,今朝正在纪录Node.js运转时的假使。
该社区正在创立一个新的威吓模子[5],供应了Node.js中哪些会被视为弱点,哪些不会被视为弱点的高低文,这将特殊有助于为平安研讨人员供应讯息。它囊括一齐今朝的威吓,及其针对哄骗Node.js的每个处境的缓和办法。留心:这也许会跟着版本的改变而改变。
社区还增多了对Node.js依赖项[6]的弱点审查。这是一个新的足本,查问弱点数据库,以发掘Node.js的依赖项能否有弱点。它做为不断集成处事流的一部份运转,假若发掘任何新的弱点,它会主动翻开一个题目,记号Node.js的维持者和平安处事构成员。
别的,做为Node.js年7月7日平安颁布的一部份,Node.js团队修理了第一个OpenSSF项目Omega发掘的CVE。
组织平常平安由分流团队负责,他们观察HackerOne汇报来修理题目,并处置不断的OpenSSF汇报和革新。修理的周转功夫从大抵一周收缩到不到两天。
平安处事组曾经从头启动,每两周召开一次会议,该处事组有着更宽泛的职责来研讨Node.js平安的来日。
介入咱们吧!Node.js是一个紧急的社区主宰的项目,咱们须要更多的人来做出进贡。假若你有兴味供应你的平安业余学识,咱们期望你能介入进入。咱们的平安处事组每周四散会。你也许从这边下载日历讯息:Node.js项目日历[7]。
参考质料[1]抉择了Node.js做为他们协助改进供给链平安的初始项目: