Come posso segnalare vulnerabilità di sicurezza per applicazioni OSX open source?

Puoi contattare Apple a questo indirizzo: [email protected] (oppure puoi aprire un rapporto Radar se sei uno sviluppatore) oppure contatta il manutentore del pacchetto.
Spesso gli indirizzi di posta possono essere trovati nel README (o AUTORI) del codice sorgente o sul sito web del progetto.

Sì. Sia Apple (in particolare) che gli sviluppatori open source (in generale) fanno riferimento a CVE nelle e-mail di patch e sicurezza e partecipano utilizzando tale meccanismo per il tracciamento delle vulnerabilità segnalate.

Le posture di sicurezza ufficiali delle mele sono Sicurezza dei prodotti Apple .

Ma direi che la soluzione migliore sarebbe inviare vulnerabilità tramite Apple Bug Reporter e il loro indirizzo email di sicurezza del prodotto. Inoltre, se la parte con la vulnerabilità è un progetto open source, è necessario notificare anche il progetto open source.

La procedura per segnalare le vulnerabilità della sicurezza varia, ma il luogo da segnalare sarebbe direttamente nel progetto open source. Se l'applicazione è ospitata nell'app store, puoi segnalare direttamente ad Apple.