Как проект с открытым исходным кодом с общедоступным репозиторием лучше всего обрабатывает запросы извлечения (PR), которые устраняют уязвимости безопасности, о которых сообщалось, но еще не опубликованные?
Я участвую в проекте с открытым исходным кодом с несколькими сотнями участников. Мы публикуем уведомления о безопасности и уязвимости несколько раз в год в рамках регулярного ежемесячного выпуска. Мы не публикуем информацию об уязвимостях, пока не сделаем исправленную версию доступной. Мы можем безопасно управлять проблемами безопасности в нашей системе управления проектами (JIRA). Но у нас нет хорошего процесса, чтобы скрыть PR, которые исправляют уязвимости безопасности, когда они отправляются в GitHub. Мы обеспокоены тем, что люди могут найти эти исправления до их выпуска и создать эксплойты нулевого дня.
Мы рассмотрели возможность использования частных репозиториев, которые разветвляют основное репо, но большая часть нашего текущего обзора и рабочего процесса QA происходит на PR. Если бы мы переместили рабочий процесс в группу безопасности только для частного репо, это уменьшило бы окно, когда исправление стало общедоступным, до часов, необходимых для создания архивов и их публикации в sourceforge, что было бы большим улучшением. Нам также, вероятно, нужно избегать слияния PR с нашей публичной бета-версией.
Прежде чем идти в этом направлении, я хотел бы знать, каков наилучший способ обработки предварительных выпусков исправлений ошибок безопасности в проектах с открытым исходным кодом с открытыми репозиториями? Если проблему можно решить лучше, используя платформу, отличную от GitHub, я должен отметить, что мы оцениваем переход на GitLab.