漏洞管理¶
报告漏洞¶
如安全策略中所述,安全漏洞可以通过GitHub私下报告给项目。
漏洞管理团队¶
漏洞报告给项目后,漏洞管理团队 (VMT) 负责管理该漏洞。VMT 负责:
- 分类处理漏洞。
- 与报告者和项目维护者协调漏洞分析和解决方案。
- 酌情为已确认的漏洞起草安全公告。
- 与项目维护者协调修复程序和安全公告的协调发布。
安全公告¶
公告通过 GitHub 发布,使用与报告漏洞相同的系统。有关该流程的更多信息可在GitHub 文档中找到。
团队成员¶
我们倾向于将所有与漏洞相关的沟通保留在 GitHub 上的安全报告中。但是,如果您需要直接联系 VMT 处理紧急问题,您可以联系以下人员:
- Simon Mo - [email protected]
- Russell Bryant - [email protected]
- Huzaifa Sidhpurwala - [email protected]
Slack 讨论¶
您可以使用 vLLM Slack 中的 #security 频道讨论与安全相关的话题。但是,请不要在此频道中披露任何漏洞。如果您需要报告漏洞,请使用 GitHub 安全公告系统或私下联系 VMT 成员。
漏洞披露¶
漏洞披露流程如下:
- VMT 将与项目维护者合作开发漏洞修复程序。
- VMT 将与报告者和项目维护者协调,准备一份充分描述漏洞及其影响的安全公告。
- VMT 将与项目维护者协调发布修复程序,并发布包含该修复程序的更新。
- VMT 将在 GitHub 上发布安全公告。发行说明将更新以包含对安全公告的引用。
VMT 和项目维护者将努力缩短披露漏洞任何公开信息与发布修复程序和公告之间的时间。