社区事件响应指南
安全漏洞应得到快速且有时是私密的处理。本流程的主要目标是减少用户暴露于公开已知漏洞的总时间。
相关的 OpenTelemetry 存储库维护者,在安全 SIG 和 OpenTelemetry 技术委员会 (TC) 的支持下,负责响应事件,包括内部沟通和外部披露。
支持的版本
OTel 项目仅为最后一个整体次要版本提供社区支持:错误修复将作为下一个次要版本的一部分发布,或作为按需补丁版本发布。无论哪个版本是下一个,所有补丁版本都是累积的,这意味着它们代表了发布时我们 `main` 分支的状态。例如,如果最新版本是 0.10.0,则错误修复将作为 0.11.0 或 0.10.1 的一部分发布。
安全修复被优先处理,并可能足以引起新版本的发布。每个存储库都有权建立自己的补充流程。安全 SIG 将与 TC 一起,在需要澄清时提供建议。
报告流程 - 漏洞报告者
报告方式
为了尽快将漏洞报告发送给维护者,首选方式是使用相应 GitHub 存储库的“安全”选项卡上的“报告漏洞”按钮。这会在报告者和维护者之间创建一个私密沟通渠道。
如果您无法使用 GitHub 报告工作流程,或有充分理由不使用,请联系 security@opentelemetry.io,我们将提供如何报告漏洞的说明。
报告应在 3 个工作日内得到确认。
请避免将任何漏洞作为通用的公开“问题”报告到 GitHub。
鉴于 GitHub 问题的公开可见性,将漏洞报告为 GitHub 问题将构成公开披露。如果这是意外发生的,或者您注意到此类报告的漏洞,请立即使用“报告漏洞”重新报告该漏洞,并在报告中注明公开披露的情况。您可以要求 GitHub 删除该问题,但这不应被视为充分的缓解措施,并且该漏洞应被视为已公开披露。
非公开漏洞
如果漏洞似乎未被公开知晓或披露,存储库维护者将介入,并要求报告者遵守禁令期,在此期间漏洞将保持私密,直到修复程序可以以有序的方式发布和披露。如果报告者有进一步披露漏洞的需要,例如为了安全会议或其他义务,他们被要求与负责修复漏洞的维护者协商披露日期。在任何情况下,存储库维护者都将尽最大努力加快修复和发布流程。
公开已知漏洞
如果您发现了一个未报告的、已公开披露/已知的漏洞,请立即使用上述报告方式告知团队,以便他们可以启动补丁、发布和沟通流程。请附上任何有关该漏洞当前公开利用情况的相关信息(如果已知),以帮助进行评分和优先级排序。
更多信息
有关更多信息,请参阅 GitHub 上的 安全 SIG 文档。