安全漏洞¶
Linux 核心開發者非常重視安全性。因此,我們希望在發現安全漏洞時能及時知曉,以便能儘快修復和披露。請向 Linux 核心安全團隊報告安全漏洞。
聯絡方式¶
可以透過電子郵件聯絡 Linux 核心安全團隊:<security@kernel.org>。這是一個由安全官員組成的私人列表,他們將協助驗證 Bug 報告並開發和釋出修復程式。如果您已經有了修復程式,請在報告中附上,因為這可以大大加快處理過程。安全團隊可能會引入區域維護者的額外幫助,以理解和修復安全漏洞。
與任何 Bug 一樣,提供的資訊越多,診斷和修復就越容易。如果您不清楚哪些資訊有用,請查閱“報告問題”中概述的程式。任何利用程式碼都非常有用,未經報告者同意,除非已公開,否則不會發布。
請儘可能傳送純文字電子郵件,不要帶附件。如果所有詳細資訊都隱藏在附件中,那麼就很難對一個複雜問題進行上下文引用的討論。把它想象成一個常規補丁提交(即使您還沒有補丁):描述問題和影響,列出重現步驟,然後附上建議的修復方案,所有內容都以純文字形式。
披露和保密資訊¶
安全列表不是披露渠道。有關披露,請參閱下面的“協調”。
一旦開發出健壯的修復程式,釋出過程便會啟動。已公開已知 Bug 的修復程式會立即釋出。
儘管我們傾向於在公開未披露的 Bug 修復程式可用後立即釋出,但這可能會應報告者或受影響方的請求推遲,最長可達釋出過程開始後的 7 個日曆日,如果經同意認為 Bug 的嚴重性需要更多時間,則可破例延長至 14 個日曆日。推遲釋出修復程式的唯一正當理由是為了配合需要釋出協調的 QA 和大規模部署的物流安排。
雖然保密資訊可能會與可信賴的個人共享以開發修復程式,但此類資訊未經報告者許可,不會隨修復程式一起釋出,也不會在任何其他披露渠道釋出。這包括但不限於原始 Bug 告和後續討論(如有)、漏洞利用、CVE 資訊或報告者的身份。
換句話說,我們唯一的興趣是修復 Bug。提交給安全列表的所有其他資訊以及報告的任何後續討論都將永久保密,即使禁令解除後也是如此。
與其他組的協調¶
核心安全團隊專注於修復 Bug,而其他組則專注於修復發行版中的問題並協調作業系統供應商之間的披露。“linux-distros”郵件列表通常處理協調工作,“oss-security”公共郵件列表則處理披露工作,兩者都密切相關並在 linux-distros wiki 中介紹:<https://oss-security.openwall.org/wiki/mailing-lists/distros>
請注意,由於這三個列表的目標不同,其各自的政策和規則也不同。核心安全團隊與其他團隊之間的協調很困難,因為對於核心安全團隊來說,偶爾的禁令(最多允許的天數)從修復程式可用時開始,而對於“linux-distros”來說,則從最初發布到列表時開始,無論修復程式是否可用。
因此,核心安全團隊強烈建議,作為潛在安全問題的報告者,您在受影響程式碼的維護者接受修復程式之前,**不要**聯絡“linux-distros”郵件列表,並且您已閱讀上述 distros wiki 頁面並完全理解聯絡“linux-distros”將對您和核心社群施加的要求。這也意味著通常不建議同時抄送兩個列表,除非在接受的修復程式尚未合併時進行協調。換句話說,在修復程式被接受之前,不要抄送“linux-distros”;在修復程式合併之後,不要抄送核心安全團隊。
CVE 分配¶
安全團隊不分配 CVE,我們也不要求報告或修復程式提供 CVE,因為這可能會不必要地使流程複雜化並可能延遲 Bug 處理。如果報告者希望為已確認的問題分配 CVE 識別符號,他們可以聯絡核心 CVE 分配團隊獲取一個。
保密協議¶
Linux 核心安全團隊不是一個正式機構,因此無法簽訂任何保密協議。