Respecting maintainer time should be in security policies
3 months ago
- #Open Source
- #Maintainers
- #Security
- 生成式AI工具导致漏洞报告篇幅变长,使开源维护者的分类工作更加困难
- 无论漏洞是否真实存在,维护者都认为冗长的报告既耗时又带来压力
- Flask和Pallets维护者David Lord强调安全报告应当尊重维护者的时间
- 建议:安全政策应要求初始报告简明扼要以节省维护者时间
- 示例政策要求可不直接提及LLM或生成式AI
- 不符合政策的报告可用预设模板退回提交者
- 漏洞报告者常提供过多细节以减少反复沟通,但应适应项目需求
- 多数报告者出于善意;维护者执行政策时应保持灵活判断