security-research
security-research 是谷歌官方维护的一个开源项目,专门收录针对非谷歌自有代码的安全研究报告、公告及概念验证(PoC)。该项目致力于解决软件供应链中的安全隐患,通过公开披露漏洞细节和复现方法,帮助社区更快速地理解威胁并推动修复。
谷歌在此项目中践行“负责任的漏洞披露”原则:一旦发现影响第三方厂商的漏洞,会立即私下通知对方,并设定 90 天的修复窗口期;若厂商未及时修复或已发布补丁,相关详情将向公众开放。这种机制既保障了厂商的响应时间,又确保了防御社区能最终获得关键信息。
该项目非常适合安全研究人员、开发者以及企业安全团队使用。对于研究者而言,这里提供了高质量的漏洞分析案例和 PoC 代码,是学习先进攻击技术的宝贵资源;对于开发者和运维人员,查阅这些公告有助于及时排查自身系统是否受同类漏洞影响,从而提前加固防线。其核心亮点在于坚持透明与协作并重的披露策略,所有公告和补丁均以开源形式免费共享,极大地促进了全球网络安全生态的共同进步。
使用场景
某金融科技公司安全团队在例行维护中,需紧急排查其核心交易系统所依赖的开源组件是否存在已知高危漏洞。
没有 security-research 时
- 团队只能被动等待厂商公告或依赖滞后且不完整的第三方漏洞库,难以第一时间获知 Google 研究员发现的深层隐患。
- 缺乏官方验证的概念验证代码(PoC),无法快速复现漏洞以评估对自家业务的具体影响,导致误报率高。
- 面对模糊的漏洞描述,修复方案往往靠猜测或盲目升级,极易引发系统兼容性故障甚至服务中断。
- 由于信息不透明,团队难以判断厂商是否已在 90 天披露期内发布修复补丁,陷入“修还是不修”的决策困境。
使用 security-research 后
- 团队直接访问 security-research 发布的官方安全公告,即时获取由 Google 研究员发现并确认的、影响非 Google 代码的关键漏洞详情。
- 利用公告中附带的开源 PoC 代码,在隔离环境中迅速复现攻击路径,精准量化风险等级并锁定受影响版本。
- 参考公告提供的具体修复补丁或缓解措施,有的放矢地进行代码修正,避免了盲目升级带来的业务震荡。
- 依据明确的 90 天披露时间轴,清晰掌握厂商响应状态,若超期未修复则立即启动自研防御策略,掌握主动权。
security-research 通过提供经过验证的高质量漏洞情报与复现工具,将企业安全防御从“被动救火”转变为“主动精准排雷”。
运行环境要求
未说明
未说明
快速开始
安全研究
本项目托管与谷歌内部研究相关的安全公告及其配套的概念验证代码,这些研究影响的是非谷歌拥有的代码。
我们认为,漏洞披露是一项双向互动的工作。无论是厂商还是研究人员,都应当以负责任的态度行事。因此,谷歌坚持90天的披露期限。我们会第一时间通知相关厂商有关漏洞的信息,并在90天后或在厂商发布修复补丁后更早地向安全社区公开详细信息。
您可以在以下链接查阅我们的完整政策: https://www.google.com/about/appsecurity/.
公告
所有漏洞的披露均以安全公告的形式呈现,您可以在安全公告页面浏览。
许可与专利
此处发布的安全公告和补丁均为免费的开源内容。
更多详情请参阅 LICENSE。
贡献
参与我们安全研究项目的最简单方式,就是在发现补丁中的错误时予以修正。
请阅读我们的贡献指南。
常见问题
相似工具推荐
ML-For-Beginners
ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。
funNLP
funNLP 是一个专为中文自然语言处理(NLP)打造的超级资源库,被誉为"NLP 民工的乐园”。它并非单一的软件工具,而是一个汇集了海量开源项目、数据集、预训练模型和实用代码的综合性平台。 面对中文 NLP 领域资源分散、入门门槛高以及特定场景数据匮乏的痛点,funNLP 提供了“一站式”解决方案。这里不仅涵盖了分词、命名实体识别、情感分析、文本摘要等基础任务的标准工具,还独特地收录了丰富的垂直领域资源,如法律、医疗、金融行业的专用词库与数据集,甚至包含古诗词生成、歌词创作等趣味应用。其核心亮点在于极高的全面性与实用性,从基础的字典词典到前沿的 BERT、GPT-2 模型代码,再到高质量的标注数据和竞赛方案,应有尽有。 无论是刚刚踏入 NLP 领域的学生、需要快速验证想法的算法工程师,还是从事人工智能研究的学者,都能在这里找到急需的“武器弹药”。对于开发者而言,它能大幅减少寻找数据和复现模型的时间;对于研究者,它提供了丰富的基准测试资源和前沿技术参考。funNLP 以开放共享的精神,极大地降低了中文自然语言处理的开发与研究成本,是中文 AI 社区不可或缺的宝藏仓库。
cs-video-courses
cs-video-courses 是一个精心整理的计算机科学视频课程清单,旨在为自学者提供系统化的学习路径。它汇集了全球知名高校(如加州大学伯克利分校、新南威尔士大学等)的完整课程录像,涵盖从编程基础、数据结构与算法,到操作系统、分布式系统、数据库等核心领域,并深入延伸至人工智能、机器学习、量子计算及区块链等前沿方向。 面对网络上零散且质量参差不齐的教学资源,cs-video-courses 解决了学习者难以找到成体系、高难度大学级别课程的痛点。该项目严格筛选内容,仅收录真正的大学层级课程,排除了碎片化的简短教程或商业广告,确保用户能接触到严谨的学术内容。 这份清单特别适合希望夯实计算机基础的开发者、需要补充特定领域知识的研究人员,以及渴望像在校生一样系统学习计算机科学的自学者。其独特的技术亮点在于分类极其详尽,不仅包含传统的软件工程与网络安全,还细分了生成式 AI、大语言模型、计算生物学等新兴学科,并直接链接至官方视频播放列表,让用户能一站式获取高质量的教育资源,免费享受世界顶尖大学的课堂体验。
ragflow
RAGFlow 是一款领先的开源检索增强生成(RAG)引擎,旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体(Agent)能力相结合,不仅支持从各类文档中高效提取知识,还能让模型基于这些知识进行逻辑推理和任务执行。 在大模型应用中,幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构(如表格、图表及混合排版),显著提升了信息检索的准确度,从而有效减少模型“胡编乱造”的现象,确保回答既有据可依又具备时效性。其内置的智能体机制更进一步,使系统不仅能回答问题,还能自主规划步骤解决复杂问题。 这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统,还是致力于探索大模型在垂直领域落地的创新者,都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口,既降低了非算法背景用户的上手门槛,也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目,它正成为连接通用大模型与行业专有知识之间的重要桥梁。
PaddleOCR
PaddleOCR 是一款基于百度飞桨框架开发的高性能开源光学字符识别工具包。它的核心能力是将图片、PDF 等文档中的文字提取出来,转换成计算机可读取的结构化数据,让机器真正“看懂”图文内容。 面对海量纸质或电子文档,PaddleOCR 解决了人工录入效率低、数字化成本高的问题。尤其在人工智能领域,它扮演着连接图像与大型语言模型(LLM)的桥梁角色,能将视觉信息直接转化为文本输入,助力智能问答、文档分析等应用场景落地。 PaddleOCR 适合开发者、算法研究人员以及有文档自动化需求的普通用户。其技术优势十分明显:不仅支持全球 100 多种语言的识别,还能在 Windows、Linux、macOS 等多个系统上运行,并灵活适配 CPU、GPU、NPU 等各类硬件。作为一个轻量级且社区活跃的开源项目,PaddleOCR 既能满足快速集成的需求,也能支撑前沿的视觉语言研究,是处理文字识别任务的理想选择。
awesome-machine-learning
awesome-machine-learning 是一份精心整理的机器学习资源清单,汇集了全球优秀的机器学习框架、库和软件工具。面对机器学习领域技术迭代快、资源分散且难以甄选的痛点,这份清单按编程语言(如 Python、C++、Go 等)和应用场景(如计算机视觉、自然语言处理、深度学习等)进行了系统化分类,帮助使用者快速定位高质量项目。 它特别适合开发者、数据科学家及研究人员使用。无论是初学者寻找入门库,还是资深工程师对比不同语言的技术选型,都能从中获得极具价值的参考。此外,清单还延伸提供了免费书籍、在线课程、行业会议、技术博客及线下聚会等丰富资源,构建了从学习到实践的全链路支持体系。 其独特亮点在于严格的维护标准:明确标记已停止维护或长期未更新的项目,确保推荐内容的时效性与可靠性。作为机器学习领域的“导航图”,awesome-machine-learning 以开源协作的方式持续更新,旨在降低技术探索门槛,让每一位从业者都能高效地站在巨人的肩膀上创新。