漏洞管理¶
报告漏洞¶
如安全政策中所述,可以通过 GitHub 将安全漏洞私下报告给项目组。
漏洞管理团队¶
一旦向项目报告了漏洞,漏洞管理团队 (VMT) 将负责管理该漏洞。VMT 的职责包括:
- 对漏洞进行分类处理。
- 与报告者和项目维护者协调漏洞分析和修复工作。
- 在适当情况下,为已确认的漏洞起草安全公告。
- 与项目维护者协调,同步发布修复程序和安全公告。
安全公告¶
公告通过 GitHub 发布,使用与报告漏洞相同的系统。有关该流程的更多信息,请参阅 GitHub 文档。
团队成员¶
我们建议将所有与漏洞相关的沟通保留在 GitHub 的安全报告中。但是,如果您有紧急问题需要直接联系 VMT,可以通过以下人员联系:
- Simon Mo - [email protected]
- Russell Bryant - [email protected]
- Huzaifa Sidhpurwala - [email protected]
Slack 讨论¶
您可以使用 vLLM Slack 中的 #security 频道讨论与安全相关的话题。但是,请勿在此频道内披露任何漏洞。如果您需要报告漏洞,请使用 GitHub 安全公告系统或私下联系 VMT 成员。
漏洞披露¶
漏洞披露流程如下:
- VMT 将与项目维护者合作,为漏洞开发修复程序。
- VMT 将与报告者和项目维护者协调,准备一份充分描述漏洞及其影响的安全公告。
- VMT 将与项目维护者协调,发布修复程序并更新版本以包含该修复。
- VMT 将在 GitHub 上发布安全公告。版本说明 (Release notes) 将进行更新,以包含对该安全公告的引用。
VMT 和项目维护者将努力缩短披露漏洞相关的公开信息与发布修复程序及安全公告之间的时间间隔。