注意
本文档适用于 Ceph 的开发版本。
漏洞管理流程
报告将在三个工作日内得到确认。
团队将调查报告的问题,并通过电子邮件线程更新相关信息。团队可能会要求提供有关报告问题的额外信息。
如果团队未确认报告,则不会采取进一步行动,问题将关闭。
如果报告得到 Ceph 团队成员的确认,将为该报告分配一个唯一的 CVE 标识符,然后与报告者共享。Ceph 安全团队将开始着手修复。
如果报告者没有预期的披露日期,Ceph 安全团队成员将与列表成员协调发布日期(CRD),并与报告者共享双方同意的披露日期。
漏洞披露/发布日期设定为不包括周五和节假日期间。
对于严重和高影响问题,首选禁运。禁运期不应超过漏洞确认之日起 90 天,除非在特殊情况下。对于影响有限且有简单变通方法的中低影响问题,或者对于已公开的问题,一旦分配了 CVE,将遵循标准的补丁发布流程来修复漏洞。
“中等”和“低”严重性问题的修复将在下一个标准发布周期中发布。列表成员将在这些修复发布日期前七天收到提前通知。CVE 修复的详细信息将包含在发布说明中,并且发布说明将链接到公开声明中。
提交将在私人存储库中进行处理以供审核和测试,新补丁版本将从该私人存储库发布。
如果漏洞在公共存储库中无意中已被修复,则在公开披露之前会给下游利益相关者/供应商几天时间准备更新。
将发布一份公告披露该漏洞。接收安全公告的最快途径是通过 ceph-announce@ceph.io 或 oss-security@lists.openwall.com 邮件列表。(这些列表流量较低)。
如果报告被视为禁运,我们要求您在漏洞修复并宣布之前不要披露该漏洞,除非您收到 Ceph 安全团队允许您这样做的回复。这在列表商定的公开披露日期之前一直有效。感谢您改善 Ceph 及其生态系统的安全。我们非常感谢您的努力和负责任的披露,并将对此表示感谢。