MikeMcQuaidHomebrew 已接受付费安全审计并解决了所有标记的问题。这篇博文酝酿已久;对于延迟,我们深表歉意。
以下是时间表的概述
- 2020 年 6 月 11 日:Mozilla 开源计划 (MOSS) 联系 Homebrew,因为我们被提名接受 Radically Open Security (ROS) 赞助的付费安全审计
- 2020 年 6 月 11 日:Homebrew 与 ROS 会面,并提供了关注的主要领域
- macOS 沙盒逃逸
- CI/开发工作流问题(例如利用我们的 CI 基础设施或部署尚未审查的更改的方法)
- 错误使用/设置/检查 Unix 权限
- 公式能够修改 Homebrew/brew 源进程
- 2020 年 6 月 18 日:ROS 与 Homebrew 会面,进一步讨论审计、范围和流程,并提供对 ROS 系统(例如 GitLab、RocketChat)的访问权限
- 2020 年 9 月 23 日:MOSS 和 ROS 确认合同
- 2020 年 10 月 14 日:ROS 开始安全审计
- 2020 年 10 月 - 2021 年 3 月:ROS 向 Homebrew 传达已解决的问题,例如 https://github.com/Homebrew/brew/pull/10970 和 https://github.com/Homebrew/brew/pull/10972
- 2021 年 3 月 31 日:ROS 向 Homebrew 提供 最终安全审计报告 PDF
- 2021 年 4 月 21 日:Homebrew 根据后续工作提供相关的 安全事件披露
- 2022 年 8 月 16 日:Homebrew 将 最终安全审计报告 PDF 添加到此页面
