Вход Зарегистрироваться
Обзор
Проекты с открытым исходным кодом > Cutting-edge Technology > Cloud Native &&
Сканировать QR-код WeChat для оплаты
Отмена
Платеж завершен
Смотреть
Отписаться Следить за всеми активностями Следить только за динамикой выпуска обновлений Подписаться без уведомления
1 В избранное 0 Ответвления 0

OSCHINA-MIRROR/zuozuonan-volcano

Код Задачи 0 Запросы на слияние 0 Wiki Статистика
Присоединиться к Gitlife
Откройте для себя и примите участие в публичных проектах с открытым исходным кодом с участием более 10 миллионов разработчиков. Приватные репозитории также полностью бесплатны :)
Присоединиться бесплатно
Это зеркальный репозиторий, синхронизируется ежедневно с исходного репозитория.
Клонировать/Скачать
HTTPS SSH SVN SVN+SSH
Копировать
Скачать ZIP
zuozuonan-volcano
/
SECURITY.md
SECURITY.md 19 КБ
Копировать Редактировать Web IDE Исходные данные Просмотреть построчно История
Отправлено 4 часов назад 69f5883

Процесс выпуска безопасности

Проект Volcano внедрил эту политику раскрытия и ответа на вопросы безопасности для обеспечения ответственного управления критическими проблемами безопасности.

Команда защищённости продукта (Product Security Team, PST)

Проблемы безопасности должны решаться быстро и иногда конфиденциально. Основной целью этого процесса является снижение общего времени, в течение которого пользователи остаются уязвимыми для публично известных exploits.

Команда защищённости продукта (PST) отвечает за организацию всего процесса реакции, включая внутреннюю коммуникацию и внешнее раскрытие информации.

Первоначальная команда защищённости продукта будет состоять из всех поддерживаемых лиц в закрытом списке рассылки volcano-security. В будущем мы можем принять решение о том, чтобы иметь подмножество поддерживаемых лиц работало над реакцией на проблемы безопасности, учитывая, что этот процесс требует много времени.

Раскрытие информации

Конфиденциальные процессы раскрытия информации

Если вы нашли уязвимость безопасности или любую другую связанную с ней проблему, ПОЖАЛУЙСТА, НЕ создавайте открытый запрос. Вместо этого отправьте свой отчёт конфиденциально на адрес volcano-security@googlegroups.com. Отчёты о безопасности очень ценно, и мы публично поблагодарим вас за это.Пожалуйста, предоставьте как можно больше информации, чтобы мы могли быстро реагировать. Например, это может включать:

  • Описание местоположения и потенциального воздействия уязвимости;
  • Подробное описание шагов, необходимых для воспроизведения уязвимости (скрипты POC, скриншоты и сжатые пакетные захваты полезны для нас);
  • Все остальное, что вы считаете нужным для идентификации источника этой уязвимости;

Публичные процессы раскрытия информации

Если вы знаете о публично раскрытой уязвимости безопасности, ПОЖАЛУЙСТА, НЕМЕДЛЕННО отправьте электронное письмо на адрес volcano-security@googlegroups.com, чтобы сообщить команде защищённости продукта (PST) о уязвимости, чтобы мы начали процесс исправления, выпуска и коммуникации.

Если возможно, PST попросит человека, сделавшего публичное заявление, перейти на конфиденциальный процесс раскрытия информации, если проблема может быть обработана таким образом (например, если детали полного эксплоита ещё не были опубликованы). Если заявитель отклоняет просьбу о конфиденциальном раскрытии информации, PST немедленно приступит к исправлению и процессу выпуска. В крайних случаях вы можете попросить GitHub удалить запись, но обычно это не требуется и маловероятно, что это сделает публичное раскрытие менее опасным.

Патч, выпуск и публичная коммуникацияДля каждой уязвимости член команды PST добровольно возьмёт на себя координацию с Командой исправлений

и будет отвечать за отправку сообщений о раскрытии уязвимости остальной части сообщества. Этот лидер будет называться Лидером исправлений.

Роль Лидера исправлений должна чередоваться по круговой системе среди членов команды PST.

Обратите внимание, что в связи с текущим размером сообщества Volcano вероятнее всего PST совпадает с Командой исправлений. PST может принять решение привлечь дополнительных участников для усиления экспертизы в зависимости от области кода, содержащей уязвимость.

Все временные рамки ниже являются рекомендациями и предполагают частное раскрытие. Если команда работает над публичным раскрытием, все временные рамки становятся как можно скорее (ASAP). Если исправление зависит от графика раскрытия другого проекта, это также скорректирует процесс. Мы будем работать с этим проектом, чтобы адаптировать его график и лучше защитить наших пользователей.

Организация команды исправлений

Эти шаги должны быть выполнены в течение первых 24 часов после раскрытия.- Лидер исправлений быстро определяет подходящих инженеров из затронутых проектов и пакетов и приглашает этих инженеров в тему раскрытия. Выбранные разработчики составляют команду исправлений.

  • Лидер исправлений обеспечивает доступ команды исправлений к закрытым репозиториям безопасности для разработки исправления.### Процесс разработки исправления

Эти шаги должны быть выполнены в течение 1–7 дней после раскрытия.

  • Лидер исправлений и команда исправлений создают CVSS с помощью CVSS Calculator. Лидер исправлений делает окончательный выбор относительно рассчитанного CVSS; лучше действовать быстро, чем стремиться к совершенству.
  • Команда исправлений сообщает лидеру исправлений о завершении работы на ветке исправления, когда есть одобрения (LGTMs) на всех коммитах в закрытом репозитории от одного или более поддерживателей.

Если значение CVSS меньше 4.0 (низкий уровень серьезности), команда исправлений может решить замедлить процесс выпуска в связи с праздниками, ограниченностью времени разработчиков и т.д. Эти решения должны обсуждаться на почтовом списке volcano-security.

Процесс раскрытия исправления

С началом работ по исправлению проблема команда безопасности Volcano должна разработать всеобъемлющий план коммуникаций для более широкого сообщества. Процесс раскрытия информации следует начинать после того, как команда разработает исправление или митIGATION, чтобы можно было сообщить пользователям реалистичный срок выполнения.

Объявление о предстоящем исправлении для пользователей (выполняется в течение 1–7 дней после объявления)- Лид проекта исправлений создаст задачу в проекте GitHub Volcano, чтобы сообщить пользователям о выявленной угрозе безопасности и о том, что будет доступно исправление с указанием приближённой даты выпуска. В объявлении будут указаны любые временные меры защиты, которые могут принять пользователи до выхода исправления.

Сообщение должно быть эффективным. Пользователи должны знать, когда отвести время для применения патчей, понимать конкретные шаги по защите и т.д.

Необязательное объявление о предстоящем исправлении для частных распространителей (выполнено в течение 1-14 дней после объявления):- Лид проекта исправлений вместе с командой проекта исправлений примет решение, достаточно ли серьёзна проблема для раннего объявления частным распространителям. Обычно этот процесс раннего объявления для частных распространителей следует использовать только для уязвимостей, которые можно эксплуатировать удалённо или для повышения привилегий. В противном случае этот процесс может быть пропущен.

  • Лид проекта исправлений отправит патчи на адрес электронной почты volcano-distributors-announce@lists.cncf.io, чтобы распространители могли подготовиться к своему собственному выпуску, который будет доступен пользователям в день объявления проблемы. Распространители должны ознакомиться с Частным списком распространителей, чтобы узнать требования для добавления в этот список.

  • Что делать, если распространитель нарушает режим секретности? Команда поддержки пользователей (PST) оценит ущерб и может принять решение о раннем выпуске или продолжении плана. Когда есть сомнения, следует двигаться вперёд и как можно скорее сделать информацию публичной.Дата выпуска исправления (Выполнено в течение 1-21 дней после объявления)

  • Команда исправления выберет все необходимые коммиты из основного ветвления, чтобы создать новый выпуск поверх последней версии.

  • Процесс выпуска будет таким же, как обычно.

  • Лид проекта исправления запросит CVE через DWF и включит в него CVSS и детали выпуска.

  • Лид проекта исправления сообщит всем пользователям, разработчикам и интеграторам, что всё стало общедоступным, объявив новые выпуски, номер CVE и соответствующие объединённые PR для широкого распространения и действия пользователей. Насколько это возможно, эта электронная почта должна быть действенной и содержать ссылки на то, как применить исправление к среде пользователя; это может включать ссылки на внешнюю документацию распространителей.

Частный список распространителей

Этот список предназначен в первую очередь для предоставления оперативной информации множеству проектов распространителей одновременно. Этот список не предназначен для использования отдельными лицами с целью выявления проблем безопасности.

Политика эмбаргоИнформация, получаемая членами списка volcano-distributors-announce@lists.cncf.io, не должна делаться публичной, передаваться другим лицам или даже намекаться за пределами "необходимого знания" внутри вашего конкретного командного состава, кроме случаев явного согласия со стороны списка.

Это правило действует до момента публичного раскрытия информации, который был согласован списком. Члены списка и другие лица могут использовать информацию только для решения проблем пользователей вашей конкретной дистрибутивной системы.Перед тем как любая информация из списка будет передана необходимым членам вашей команды для решения данной проблемы, они должны согласиться с такими же условиями и иметь доступ к информации только по мере необходимости.

В случае случайного раскрытия информации за рамки данного политического соглашения вам следует немедленно сообщить volcano-security@googlegroups.com о том, что именно было раскрыто и кому. После утечки проведётся ретроспективный анализ, чтобы мы могли понять, как избежать повторения этой ошибки в будущем.

Если вы продолжите раскрывать информацию и нарушать данную политику, вы будете удалены из списка.

Вклад обратно в проект

Это коллективная работа. Как участник списка, вы обязаны принимать участие в процессе. Это может проявляться следующим образом:

Технический

  • Обзор и/или тестирование предлагаемых патчей и указание потенциальных проблем (например, незавершённые исправления первоначально отмеченных проблем, дополнительные проблемы, которые вы можете заметить, и новые баги), а также информирование списка о проделанной работе, даже если никаких проблем не было замечено.

Административный

  • Участие в подготовке электронных писем для публичного расследования.
  • Участие в подготовке примечаний выпуска.### Критерии участия

Для получения доступа к рассылке volcano-distributors-announce@lists.cncf.io ваша дистрибутивная система должна:

  1. Быть активным распространителем Volcano.
  2. Иметь базу пользователей, не ограниченную вашей организацией.
  3. Иметь публично проверяемую историю исправления проблем безопасности до настоящего времени.
  4. Не быть промежуточным распространителем или перестроенным другого распространителя.
  5. Участвовать и быть активным участником сообщества.
  6. Принять Политику эмбарго, указанную выше.
  7. Иметь уже имеющегося члена списка, который поручится за лицо, запрашивающее членство от имени вашего распространителя.

Запрос на вступление

Запросы новых членов отправляются на адрес volcano-security@googlegroups.com.

В теле вашего запроса укажите, как вы отвечаете каждому из критериев, указанных в Критериях членства.

Комментарий ( 0 )

Вы можете оставить комментарий после Вход в систему

1
https://gitlife.ru/oschina-mirror/zuozuonan-volcano.git
git@gitlife.ru:oschina-mirror/zuozuonan-volcano.git
oschina-mirror
zuozuonan-volcano
zuozuonan-volcano
master
Комментарий
Отчет о репозитории
Вернуться к началу