该研究采用混合方法（问卷调查n1=80 + 半结构化访谈n2=22）调查了GitHub Advisory Database中列出的开源软件（OSS）项目的维护者，探究他们在漏洞管理和平台安全特性方面的观点。研究识别出37个关键方面，发现供应链不信任和缺乏自动化漏洞管理工具是最严峻的挑战。在采用平台安全特性（如私有漏洞报告、安全策略等）时，维护者普遍存在意识不足或认为不必要的认知。令人惊讶的是，即使项目过去曾遭受漏洞攻击，仍有部分维护者继续开放公开漏洞报告，甚至忽略报告。基于这些发现，论文讨论了OSS平台（如GitHub）应如何改进，以及研究社区如何更好地支持OSS漏洞管理工作。适合安全平台设计者、OSS社区管理者以及安全研究人员阅读。

本文讨论了构建开源操作技术（OT）渗透测试平台LINICS的经验和教训。与信息技术（IT）安全领域有Kali Linux等成熟开源平台不同，工业控制系统（ICS）所依赖的OT安全领域缺乏类似的开源工具集。作者分享了LINICS平台的架构设计、构建过程以及发布后的反馈。LINICS旨在为OT安全研究人员和渗透测试人员提供一个集成的、可扩展的开源平台，包含专用的工具链、协议分析和漏洞利用模块。论文详细描述了平台如何适配OT环境的特殊性，例如对专有协议（如Modbus、DNP3、S7Comm）的支持、对物理过程安全的考虑、以及对实时性和可靠性要求的满足。实验部分可能展示了平台在模拟ICS环境中的有效性，以及与传统IT渗透测试工具的对比。主要贡献在于填补了OT安全开源平台的空白，降低了OT安全评估的入门门槛，并促进了社区协作。该研究适合OT安全工程师、ICS渗透测试人员以及工业网络安全研究人员阅读。

这篇论文系统性地研究了开源软件供应链中贡献归属的脆弱性问题。作者指出，关键开源项目构成了许多大型软件系统的基石，但验证提交作者身份的真实性既关键又困难。Git 用户可以自由配置作者名称和电子邮件地址，而 GitHub 等平台使用这些信息来生成指向用户账户的个人资料链接。这为恶意行为者提供了伪造贡献历史以提升账户可信度的机会。论文设计了三个攻击场景：通过伪造 Git 提交作者信息劫持贡献、利用 GitHub 对电子邮件地址的处理进行身份冒充、以及结合两者进行更隐蔽的攻击。研究者对 GitHub 上 50,328 个关键开源项目进行了大规模测量，发现 85.9% 的项目可能被滥用。他们识别出 573,043 个可被恶意行为者声称的电子邮件地址，从而劫持历史贡献。作为对比，研究了提交签名这一防御措施，发现绝大多数用户（95.4%）从未签署过提交，大部分项目（72.1%）没有签名提交；只有 2.0% 的用户和 0.2% 的项目对所有提交进行了签名。签名与否与项目编程语言、主题或其他安全措施无关联。此外，论文分析了在线安全建议文档，发现大多数文档意识到简单的 Git 提交伪造技术，但对 GitHub 处理电子邮件地址的问题缺乏认识。研究结果表明，当前贡献归属机制存在严重安全隐患，需要改进平台安全措施和提高社区意识。