সুরক্ষিতভাবে প্রতিবেদন করা হলেও সুরক্ষিত দুর্বলতা প্রকাশ্যে প্রকাশ করা হয়নি এমন পাবলিক রিপোজিটরি সেরা হ্যান্ডেল পুল অনুরোধ (PR) সহ একটি ওপেন সোর্স প্রকল্প কীভাবে করা উচিত?
আমি কয়েক শতাধিক অবদানকারী সহ একটি ওপেন সোর্স প্রকল্পে জড়িত। নিয়মিত নির্ধারিত মাসিক প্রকাশের অংশ হিসাবে আমরা বছরে বেশ কয়েকবার সুরক্ষা বিজ্ঞপ্তি এবং দুর্বলতা প্রকাশ করি। আমরা প্যাচ করা সংস্করণ উপলব্ধ না করা পর্যন্ত দুর্বলতা সম্পর্কে তথ্য প্রকাশ করি না। আমরা আমাদের প্রকল্প পরিচালন ব্যবস্থায় (জেআইআরএ) সুরক্ষিত সমস্যাগুলি সুরক্ষিতভাবে পরিচালনা করতে সক্ষম হয়েছি। তবে গিটহাবের কাছে জমা দেওয়ার সাথে সাথে সুরক্ষিত দুর্বলতাগুলি ঠিক করে এমন PR গুলিকে অস্পষ্ট করার জন্য আমরা একটি ভাল প্রক্রিয়া পাইনি। আমরা উদ্বিগ্ন যে লোকেরা মুক্তি পাওয়ার আগে এই সমাধানগুলি খুঁজে পেতে পারে এবং শূন্য দিনের শোষণ তৈরি করতে পারে।
আমরা ব্যক্তিগত রেপো ব্যবহারের বিষয়টি বিবেচনা করেছি যা প্রধান রেপো কাঁটাচামচ করে, তবে আমাদের বর্তমানে পর্যালোচনা এবং কিউএ ওয়ার্কফ্লো অনেকটাই পিআরএসে ঘটে। যদি আমরা ওয়ার্কফ্লোটি কেবলমাত্র একটি ব্যক্তিগত টিপিতে স্থানান্তরিত করি, তবে টারবলগুলি উত্পন্ন করতে এবং সোর্সফোরে প্রকাশ করতে যে সময় লাগবে তার ফিক্সটি সর্বজনীন হলে উইন্ডো হ্রাস পাবে, যা একটি বড় উন্নতি হবে। আমাদের সম্ভবত জনসাধারণের বিটাতে পিআরএসগুলি মার্জ করা এড়াতে হবে।
সেদিকে যাবার আগে, আমি জানতে চাই যে মুক্ত ওষুধের প্রকল্পগুলি ওপেন সোর্স প্রকল্পগুলিতে প্রাক-প্রকাশের সুরক্ষা বাগ ফিক্স প্যাচগুলি পরিচালনা করার জন্য সেরা অনুশীলনটি কী? গিটহাবের চেয়ে আলাদা প্ল্যাটফর্ম ব্যবহার করে যদি সমস্যাটি আরও ভালভাবে সমাধান করা যায় তবে আমার উল্লেখ করা উচিত আমরা গিটল্যাবে স্থানান্তরের মূল্যায়ন করছি।