漏洞管理#
报告漏洞#
漏洞管理团队#
一旦漏洞被报告给项目,漏洞管理团队 (VMT) 负责管理该漏洞。 VMT 负责
漏洞分类。
与报告者和项目维护者协调漏洞分析和解决。
起草已确认漏洞的安全公告(如适用)。
与项目维护者协调修复程序和安全公告的协同发布。
安全公告#
公告通过 GitHub 发布,使用与报告漏洞相同的系统。有关该过程的更多信息,请参见 GitHub 文档。
团队成员#
我们倾向于将所有与漏洞相关的沟通保留在 GitHub 上的安全报告中。但是,如果您需要直接联系 VMT 处理紧急问题,您可以联系以下人员
Simon Mo - simon.mo@hey.com
Russell Bryant - rbryant@redhat.com
Slack 讨论#
您可以使用 #security 频道在 VLLM Slack 中讨论与安全相关的主题。但是,请不要在此频道中披露任何漏洞。如果您需要报告漏洞,请使用 GitHub 安全公告系统或私下联系 VMT 成员。
漏洞披露#
披露漏洞的流程如下
VMT 将与项目维护者合作开发漏洞修复程序。
VMT 将与报告者和项目维护者协调,准备一份充分描述漏洞及其影响的安全公告。
VMT 将与项目维护者协调,发布修复程序并发布包含该修复程序的更新。
VMT 将在 GitHub 上发布安全公告。发布说明将更新,以包含对安全公告的引用。
VMT 和项目维护者将努力最大限度地缩短披露任何关于漏洞的公共信息与发布可用版本和公告之间的时间。