最佳实践:报告 Erlang/OTP 中的安全问题
不要创建公开的 github issue.
请为安全问题创建一个新的 安全公告。 或者发送电子邮件至 erlang-security [at] erlang [dot] org。
请遵循本文档来报告 Erlang/OTP 中的安全漏洞。
风险等级通常取决于漏洞被利用后的影响,以及发生利用的可能性。 换句话说,如果一个 bug 会造成巨大的损害,但需要最高权限才能利用该 bug,那么该 bug 的风险并不高。 同样,如果一个 bug 很容易被利用,但其影响有限,那么它也不是一个高风险问题。
没有硬性规定来确定是否应该将一个 bug 作为安全问题报告给 https://github.com/erlang/otp/security。 一般规则是,允许非特权用户成功攻击 Erlang 应用程序、Erlang 运行时,或者可以用作攻击同一台或其他机器上运行的其他软件的跳板的 bug 被认为是安全问题。 我们认为的攻击是指任何影响系统的机密性、完整性和/或可用性的行为。
Erlang/OTP 发行版中的所有安全 bug 都应报告给 https://github.com/erlang/otp/security。 您的报告将由 OTP 团队中的一个小型安全团队处理。
请为您的报告使用描述性的标题。 在对您的报告进行初步回复后,安全团队将随时向您更新修复和发布公告的进展和决策情况。
如果您认为在 https://github.com/erlang/otp/issues 上存在的公开 issue 与安全相关,我们要求您通过 https://github.com/erlang/otp/security 报告它。 标题应包含来自 https://github.com/erlang/otp/issues 的 issue ID(例如,标记安全问题 #7539)。 请包含一个简短的描述,说明为什么应该按照安全策略处理它。