漏洞管理¶
报告漏洞¶
如安全策略中所述,可以通过GitHub私密报告安全漏洞给项目。
漏洞管理团队¶
一旦漏洞报告给项目,漏洞管理团队(VMT)将负责管理该漏洞。VMT 负责:
- 分类漏洞。
- 与报告者和项目维护者协调漏洞分析和解决。
- 起草已确认漏洞的安全公告(如适用)。
- 与项目维护者协调,协调发布补丁和安全公告。
安全公告¶
公告通过 GitHub 发布,使用的系统与报告漏洞的系统相同。有关该过程的更多信息,请参阅GitHub 文档。
团队成员¶
我们更倾向于将所有与漏洞相关的沟通保留在 GitHub 的安全报告中。但是,如果您需要因紧急问题直接联系 VMT,可以联系以下人员:
- Simon Mo - [email protected]
- Russell Bryant - [email protected]
- Huzaifa Sidhpurwala - [email protected]
Slack 讨论¶
您可以使用vLLM Slack中的 #security 频道讨论安全相关话题。但是,请勿在此频道披露任何漏洞。如果您需要报告漏洞,请使用 GitHub 安全公告系统或私下联系 VMT 成员。
漏洞披露¶
披露漏洞的流程如下:
- VMT 将与项目维护者合作开发漏洞的补丁。
- VMT 将与报告者和项目维护者协调,准备一份充分说明漏洞及其影响的安全公告。
- VMT 将与项目维护者协调,发布包含该补丁的更新。
- VMT 将在 GitHub 上发布安全公告。发布说明将更新以包含对安全公告的引用。
VMT 和项目维护者将努力缩短披露任何公开漏洞信息与发布补丁和公告之间的时间。