最佳實踐:回報 Erlang/OTP 中的安全問題
請勿建立公開的 GitHub 問題.
請為安全問題建立一個新的安全諮詢。或者發送電子郵件至 erlang-security [at] erlang [dot] org。
請遵循本文檔以回報 Erlang/OTP 中的安全漏洞。
風險等級通常由漏洞被利用後造成的影響,以及利用發生的機率的乘積決定。換句話說,如果一個錯誤可能導致巨大損害,但需要最高權限才能利用該錯誤,那麼該錯誤並非高風險錯誤。同樣地,如果該錯誤很容易被利用,但其影響有限,那麼它也不是一個高風險的問題。
判斷一個錯誤是否值得作為安全問題回報至 https://github.com/erlang/otp/security 並沒有硬性規定。一般規則是,允許非特權用戶成功攻擊 Erlang 應用程式、Erlang 運行時,或可作為攻擊同一或不同機器上運行的其他軟體的跳板的錯誤,都應被視為安全問題。我們將任何影響系統的機密性、完整性和/或可用性的行為視為攻擊。
Erlang/OTP 發行版中的所有安全錯誤都應回報至 https://github.com/erlang/otp/security。您的回報將由 OTP 團隊的一個小型安全團隊處理。
請為您的回報使用一個描述性的標題。在對您的回報做出初步回應後,安全團隊將隨時向您更新修復和發佈公告的進展和決策。
如果您認為 https://github.com/erlang/otp/issues 上現有的公開問題與安全相關,我們要求您透過 https://github.com/erlang/otp/security 回報。標題應包含來自 https://github.com/erlang/otp/issues 的問題 ID(例如,標記安全問題 #7539)。請包含一個簡短的描述,說明為什麼應根據安全政策處理。