Madison Ficorilli是GitHub的漏洞透明度倡导者和员工安全经理,领导咨询数据库管理团队。她热衷于漏洞报告、响应和披露,并共同主持相关的开源安全基金会( OpenSSF )工作组,并在CVE计划委员会任职。
作为GitHub的产品事件响应分析师和卡内基梅隆大学软件工程研究所CERT协调中心的漏洞协调员,她的经验丰富了她的观点。2026年5月, GitHub咨询数据库发布了1,560份经过审核的建议,是我们典型月度产出的五倍多,是其历史上最高的。但它仍然不足以跟上。
在过去的几个月里,漏洞生态系统发生了根本性的变化。私有漏洞报告、存储库公告和CVE请求的输入同时增加,将整个系统推向新的运营规模。本博客基于持续的GitHub社区讨论,跟踪漏洞报告的不断发展性质,以及PVR和咨询数据库路线图的发展。
该主题中反复出现的一个主题是平台变更对咨询策划和数据质量的下游影响。这与GitHub更广泛地转向强调漏洞报告的质量和共同责任相一致,这反过来又直接影响了咨询数据的策划和维护方式。TL; DR新公告的审查时间更长,因为漏洞数量和复杂性显著增加。
公告质量没有变化:经过审核的公告仍然经过人工验证,现有警报继续正常运行。如果您想提供帮助,请关注三件事:提交完整的漏洞数据,与维护人员和研究人员密切协调,并且仅在有明确的发布意图时才请求CVE。创纪录的产出和前所未有的投入可能不是一次性的飙升。