已棄用：請參閱 最佳實務：回報 Erlang/OTP 中的安全問題

回報 Erlang/OTP 中的安全問題

請依照此文件回報關於 Erlang/OTP 的安全問題。請不要公開建立安全問題的議題。

何時應回報安全問題？#

風險等級通常取決於一旦漏洞被利用所造成的影響，以及發生漏洞利用的可能性。換句話說，如果一個錯誤可能造成很大的損害，但需要最高權限才能利用該錯誤，那麼這個錯誤就不是高風險的錯誤。同樣地，如果該錯誤很容易被利用，但其影響有限，那麼它也不是高風險問題。

沒有任何硬性規定可以判斷一個錯誤是否值得作為安全問題回報給 erlang-security [at] erlang [dot] org。一個通用的原則是，沒有存取 Erlang 應用程式或其系統權限的人發起的攻擊可能會影響機密性、完整性和可用性。

回報後會發生什麼事？#

Erlang/OTP 發行版中的所有安全錯誤都應回報給 erlang-security [at] erlang [dot] org。您的回報將由 OTP 團隊的一個小型安全團隊處理。當我們開始處理該問題時，您的電子郵件將會收到確認。

請為您的回報使用描述性的電子郵件標題。在您回報的初始回覆後，安全團隊將隨時向您更新有關修復和發佈公告的進度和決策。

將現有問題標記為與安全相關 #

如果您認為 bugs.erlang.org 上的現有公開問題與安全相關，我們要求您發送電子郵件至 erlang-security [at] erlang [dot] org。電子郵件標題應包含 bugs.erlang.org 上的問題 ID（例如，標記安全問題 ERL-001）。請包含簡短描述，以說明為什麼應根據安全政策處理該問題。