# 开源项目安全漏洞治理

**Repository Path**: open-atom-open-x/open-source-security-vulnerabilities-gov

## Basic Information

- **Project Name**: 开源项目安全漏洞治理
- **Description**: 聚焦安全漏洞的治理体系建立。
- **Primary Language**: Unknown
- **License**: CC-BY-4.0
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2021-07-11
- **Last Updated**: 2021-09-08

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# 开源项目安全漏洞治理


#### 专题组简介
该专题组是 OpenAtom openx 开源研究工作组下设立的专注于开源项目安全漏洞治理方面的研究小组，由来自华为的高琨、刘金刚担任联合组长，并邀请了在开源安全治理领域经验丰富的谭中意、王伟、颜小兵和开放原子开源基金会的何均宏、藤召智、周艺等数位业界资深专家以及相关机构成员组成专题组团队的初始成员，覆盖了理论、工具、流程、实践等各个方面。
![输入图片说明](https://images.gitee.com/uploads/images/2021/0907/161106_6b5cbaf0_8399738.jpeg "新闻稿海报_安全漏洞治理-02.jpg")

#### 工作目标
通过专题小组的研究和产出，帮助更多的企业和组织提升安全漏洞治理的能力，提升企业和组织的生产力和竞争力，为企业和及其开源项目保驾护航。


#### 主要工作范围及内容
- 专题组明确了当前聚焦安全漏洞的治理体系建立。确定漏洞治理体系大纲分为以下几块：
- 流程维度：社区漏洞感知；漏洞分析、评估和验证；社区漏洞修复；社区漏洞披露；漏洞库建立五个维度。
- 组织维度：建立社区的漏洞处理组织以及和其他组织之间的关系。
- IT、工具、基础设施：根据流程和组织提出IT、工具和基础设施的方案。

#### 年度输出成果

#### 2021 Q2:	
- 制定开源社区安全漏洞治理框架提纲，OE经验的两次分享-OH+MS；
#### 2021Q3 (7/8月)：	
- 完成安全漏洞治理框架初稿，
- 启动国内项目沟通（OE+OH+MindSpore社区安全meetup），
- 合作方案立项（项目配合准备工具费用，软件所中科微澜工具和数据能否免费使用，由项目负责具体实施）
#### 2021 Q3 (9月)：	
- 发布开源社区安全漏洞治理草案1.0；
- 国内项目（OH+MindSpore）安全漏洞治理方案落地实施；
- 输出三个领域代表社区漏洞库方案；
#### 2021Q4（10/11月）：	
- OH+MindSpore治理方案落地实施及验证评估；
#### 2021Q4（12月）：	
- 构建三个领域代表社区漏洞库实例，联合软件所等发布三个领域漏洞治理内部团体标准；