Linux内核维护者面临AI生成漏洞报告激增，工作量显著增加。尽管被视为“幸福的烦恼”，但开发者们承受着巨大的压力，需适应AI快速发展以提升软件质量。

Node.js项目更新HackerOne程序，要求漏洞报告的Signal评分至少为1.0，以应对低质量报告的增加。这一措施确保报告者有有效记录，同时允许新研究者有限提交。低于该评分者可通过OpenJS Foundation Slack联系安全团队。

Python安全响应团队（PSRT）已建立新的治理结构，并发布了成员名单和职责文档。团队通过志愿者和工作人员协调漏洞报告，去年发布了16个安全通告。新成员的加入将增强安全工作的可持续性，任何具备安全专业知识的人均可申请加入PSRT，需现有成员提名并获得投票支持。

PEP 811 提出了 Python 安全响应团队（PSRT）的成员资格和职责政策，负责处理安全漏洞报告并保护敏感信息。提案建议设立“协调员”角色，并使用 GitHub 安全公告作为漏洞报告和管理的标准平台，以提高协作效率和及时处理漏洞。

随着欧盟网络韧性法案（CRA）的审议，开源软件将面临新要求。尽管开源项目通常由独立开发者维护，但企业对漏洞报告等方面有严格规定。CRA明年生效，企业不合规将面临高额罚款，这将深刻影响软件供应商和基金会。

加密货币交易所GMX遭黑客盗取4000万美元，后与黑客达成和解，黑客退回资金并获得500万美元的白帽奖金。部分安全研究人员对此表示不满，认为漏洞报告的奖励过低。

Curl维护者丹尼尔·斯滕伯格抱怨AI生成的低质量漏洞报告，称项目遭遇“DDoS攻击”。他希望未来能改进报告的清晰度和准确性。HackerOne支持AI使用，但禁止垃圾报告。斯滕伯格制定新指南，要求报告注明AI使用，并仔细验证发现，以避免浪费时间和资源。

在数字威胁快速演变的时代，网络安全成为企业的首要任务。Cloudflare于2024年加入美国网络安全和基础设施安全局的“安全设计”承诺，致力于增强数字生态系统的韧性。作为CVE编号机构，Cloudflare负责漏洞的披露和修复，确保用户安全。

使用Bearer CLI工具进行静态应用安全测试(SAST)非常简单。该开源工具分析源代码以发现漏洞，支持多种语言，并易于集成到CI/CD管道中。安装后，只需在项目根目录运行“bearer scan .”即可生成漏洞报告。

处理开源项目的漏洞报告不必感到压力。通过使用GitHub的私密漏洞报告（PVR）和草拟安全建议，维护者可以高效、安全地解决安全问题。关键步骤包括启用PVR、合作修复、请求CVE标识、发布安全建议和通知用户。这些工具帮助维护者在保障用户安全的同时，有效管理漏洞。

Cloudflare推出了一个仪表板，帮助用户创建和管理符合RFC9116标准的security.txt文件，以便安全研究团队报告网站漏洞。尽管该标准尚未普遍采用，Cloudflare通过动态生成文件和支持可选字段，增强了合规性和安全性。

GitLab 17 和 17.1 引入了安全和治理增强功能，包括简化的 SAST 分析器、Android 依赖扫描、改进的秘密检测和增强的容器注册表功能。其他改进包括动态应用安全测试、Web API 模糊测试和漏洞报告的更新过滤。项目所有者现在会收到有关即将过期的访问令牌的通知。这些增强功能加强了安全态势。

GitHub Security Lab利用GitHub产品和功能进行安全研究，使用代码扫描、CodeQL、Codespaces和私有漏洞报告等工具发现、验证和披露开源软件中的漏洞。他们还介绍了代码搜索功能和OpenSSF的关键性评分，以及Code scanning、CodeQL和GitHub Codespaces的使用。GitHub作为安全研究的重要资源，提供一站式解决方案来识别和解决潜在的安全威胁。

GitLab的漏洞报告功能可管理代码、运行安全扫描并修复漏洞。用户可导出报告为CSV、HTML/PDF或Jira项目。导出HTML/PDF需在Custom Vulnerability Reporting项目中设置CI/CD变量并手动运行管道。导出Jira项目需在External Vulnerability Tracking项目中设置CI/CD变量并手动运行管道。脚本仅供教育目的，不受GitLab支持。