Раскрытие уязвимостей безопасности

Проект Apache NiFi приветствует ответственный отчёт о возможных уязвимостях безопасности. Команда NiFi считает важным сотрудничество со знающими специалистами по информационной безопасности со всего мира для выявления слабых мест в любой технологии. Если вы полагаете, что нашли уязвимость безопасности в нашем продукте или услуге, мы рекомендуем вам сообщить нам об этом. Мы будем работать с вами для оперативного решения проблемы.## Содержание

• Политика раскрытия
• Исключения
• Методы отчетности
• Опубликование

Политика раскрытия

• Обратитесь к нам сразу после обнаружения потенциальной уязвимости безопасности, и мы сделаем всё возможное для быстрого решения проблемы.
• Предоставьте нам разумное время для решения проблемы перед любым публичным объявлением или сообщением третьей стороне.
• Приложите добросовестные усилия для защиты конфиденциальности, предотвращения утечек данных и прекращения или снижения качества наших услуг. Только взаимодействуйте с аккаунтами, которыми вы владеете или на которые получили явное разрешение владельца аккаунта.

Исключения

При исследовании просим вас воздержаться от:

• Отказа в обслуживании (DoS)
• Спама
• Социального инженеринга (включая фишинг) сотрудников или контракторов проекта Apache NiFi
• Любых физических попыток воздействия на имущество или центры обработки данных проекта Apache NiFi

Методы отчетности

• Почтовый список безопасности NiFi: security@nifi.apache.org
  • Члены Комитета управления проектом следят за этим закрытым почтовым списком и реагируют на раскрытия

ОпубликованиеПроект Apache NiFi следует политике ASF Project Security For Committers. Таким образом, любая уязвимость не раскрывается проектом до тех пор, пока нет доступной для скачивания версии, которая устраняет проблему. Как только эта версия становится доступной, проблема полностью документируется в следующих местах:

• Отправляется электронное письмо на те же адреса, что и при объявлении выпуска (dev@nifi.apache.org, users@nifi.apache.org, announce@apache.org), security@nifi.apache.org, и oss-security@lists.openwall.com
• В базе данных Common Vulnerabilities and Exposures (CVE)
• На странице безопасности Apache NiFiСпасибо за помощь в обеспечении безопасности Apache NiFi и наших пользователей!