Политика безопасности

Объявления о безопасности

Исправления безопасности будут объявлены путём публикации в журнале изменений безопасности

Охват и поддерживаемые версии

Следующие версии сервера ClickHouse в настоящее время поддерживаются с исправлениями безопасности:

Отчет о уязвимости

Мы очень благодарны исследователям безопасности и пользователям за отчеты о уязвимостях для сообщества ClickHouse Open Source. Все отчеты тщательно расследуются разработчиками.

Чтобы сообщить о потенциальной уязвимости в ClickHouse, пожалуйста, отправьте детали об этом на адрес clickhouse-feedback@yandex-team.com.

Когда следует сообщить о уязвимости?

• Вы считаете, что обнаружили потенциальную уязвимость безопасности в ClickHouse
• Вы не уверены, как уязвимость влияет на ClickHouse### Когда НЕ следует сообщать о уязвимости?
• Вам требуется помощь в настройке компонентов ClickHouse для повышения безопасности
• Вам требуется помощь при применении обновлений, связанных с безопасностью
• Ваша проблема не связана с безопасностью## Ответ на уязвимость безопасности

Каждый отчет признается и анализируется поддерживателями ClickHouse в течение 5 рабочих дней. При переходе уязвимости от этапа первичной проверки до выявления исправления и планирования выпуска мы будем информировать заявителя.

Время публичного раскрытия

Дата публичного раскрытия согласуется между поддерживателями ClickHouse и лицом, предоставившим баг. Мы предпочитаем полностью раскрывать баг сразу после того, как становится доступным способ его устранения. Разумно отложить раскрытие, если баг или исправление еще недостаточно понятны, решение еще недостаточно протестировано или требуется координация с поставщиками. Время для раскрытия может составлять от немедленного (особенно если это уже известно публично) до 90 дней. Для уязвимостей с простым решением мы ожидаем, что срок от даты отчета до даты раскрытия будет порядка семи дней.