漏洞管理

报告漏洞

如安全策略中所述，可以通过GitHub私下向项目报告安全漏洞。

漏洞管理团队

一旦漏洞被报告给项目，漏洞管理团队（VMT）负责管理该漏洞。VMT 的职责包括：

• 对漏洞进行分类。
• 与报告者和项目维护者协调漏洞分析和解决。
• 酌情为已确认的漏洞起草安全通告。
• 与项目维护者协调修复程序和安全通告的同步发布。

安全通告

通告通过 GitHub 发布，使用与报告漏洞相同的系统。有关该过程的更多信息可在GitHub 文档中找到。

团队成员

我们倾向于在 GitHub 的安全报告上进行所有与漏洞相关的沟通。但是，如果您需要直接联系 VMT 处理紧急问题，可以联系以下人员：

• Simon Mo - [受电子邮件保护]
• Russell Bryant - [受电子邮件保护]

Slack 讨论

您可以使用 vLLM Slack 中的 #security 频道讨论安全相关主题。但是，请不要在该频道披露任何漏洞。如果您需要报告漏洞，请使用 GitHub 安全通告系统或私下联系 VMT 成员。

漏洞披露

披露漏洞的过程如下：

• VMT 将与项目维护者合作开发漏洞修复程序。
• VMT 将与报告者和项目维护者协调准备安全通告，充分描述漏洞及其影响。
• VMT 将与项目维护者协调发布修复程序并发布包含该修复程序的更新。
• VMT 将在 GitHub 上发布安全通告。发布说明将更新以包含对安全通告的引用。

VMT 和项目维护者将努力最大限度地缩短披露任何有关漏洞的公共信息与发布修复程序和通告之间的时间。