Вход Зарегистрироваться
Обзор
Проекты с открытым исходным кодом > Cutting-edge Technology > Cloud Native &&
Сканировать QR-код WeChat для оплаты
Отмена
Платеж завершен
Смотреть
Отписаться Следить за всеми активностями Следить только за динамикой выпуска обновлений Подписаться без уведомления
1 В избранное 0 Ответвления 0

OSCHINA-MIRROR/mirrors-crossplane

Код Задачи 0 Запросы на слияние 0 Wiki Статистика
Присоединиться к Gitlife
Откройте для себя и примите участие в публичных проектах с открытым исходным кодом с участием более 10 миллионов разработчиков. Приватные репозитории также полностью бесплатны :)
Присоединиться бесплатно
Клонировать/Скачать
HTTPS SSH SVN SVN+SSH
Копировать
Скачать ZIP
SECURITY.md 9.1 КБ
Копировать Редактировать Web IDE Исходные данные Просмотреть построчно История
gitlife-traslator Отправлено 26.11.2024 23:18 1554a90

Политика безопасности

Эта политика адаптирована из политик следующих проектов CNCF:

Аудиты

Следующие аудиты, связанные с безопасностью, были проведены в проекте Crossplane и доступны для скачивания из папки security и по прямым ссылкам ниже:

  • Аудит безопасности был завершён в июле 2023 года компанией Ada Logics. Полный отчёт доступен здесь.
  • Аудит безопасности методом фаззинга был завершён в марте 2023 года компанией Ada Logics. Полный отчёт доступен здесь.

Сообщение об уязвимости

Чтобы сообщить об уязвимости, выполните одно из следующих действий:

  1. Сообщите о ней напрямую на Github, следуя процедуре, описанной здесь, и:

    • Перейдите на вкладку security репозитория.
    • Нажмите «Advisories».
    • Нажмите «Сообщить об уязвимости».
    • Подробно опишите проблему, см. ниже некоторые примеры информации, которая может быть полезна.

  2. Отправьте электронное письмо на адрес crossplane-security@lists.cncf.io, подробно описав проблему, см. ниже несколько примеров информации, которая может оказаться полезной.

Авторы сообщения обычно могут ожидать ответа в течение 24 часов, подтверждающего получение проблемы. Если ответ не получен в течение 24 часов, пожалуйста, обратитесь к любому сопровождающему, чтобы подтвердить получение проблемы.

Содержание сообщения

Убедитесь, что вы включили все детали, которые могут помочь сопровождающим лучше понять и приоритизировать проблему. Например, вот список деталей, которые стоит добавить:

— Версии Crossplane, а также более широко — любого другого задействованного программного обеспечения, например Kubernetes, провайдеров и т. д. — Подробный список шагов для воспроизведения уязвимости. — Последствия уязвимости. — Степень серьёзности, которую вы считаете подходящей для уязвимости. — Скриншоты, логи или события Kubernetes.

Не стесняйтесь дополнить этот список всем, что, по вашему мнению, будет полезно.

Процесс рассмотрения

Как только сопровождающий подтвердит актуальность сообщения, на Github будет создан черновик рекомендации по безопасности. Черновик будет использоваться для обсуждения проблемы с сопровождающими, авторами сообщения и консультантами по безопасности Crossplane. Если авторы сообщения хотят участвовать в этом обсуждении, предоставьте имена пользователей Github, чтобы их пригласили к обсуждению. Если авторы сообщения не хотят непосредственно участвовать в обсуждении, они могут запросить регулярное обновление через электронную почту.

Если уязвимость будет принята, будет определена временная шкала разработки патча, публичного раскрытия и выпуска патча. Если существует период эмбарго на публичное раскрытие перед выпуском патча, объявление будет отправлено в список рассылки объявлений по безопасности (crossplane-security-announce@lists.cncf.io), объявляя область уязвимости, дату доступности выпуска патча и дату публичного раскрытия. Авторы сообщения должны участвовать в обсуждении временной шкалы и соблюдать согласованные даты публичного раскрытия.

Процесс публичного раскрытия

Уязвимости после исправления будут раскрыты по электронной почте на адрес crossplane-security-announce@lists.cncf.io и публично как рекомендация по безопасности Github и упомянуты в примечаниях к выпуску исправленных версий.

Поддерживаемые версии

См. документацию Crossplane для получения информации о поддерживаемых версиях crossplane. Любые поддерживаемые ветки релизов могут получать обновления безопасности. Для любых проблем безопасности, обнаруженных в старых версиях... Для информирования сопровождающих о версиях, неосновных пакетах или зависимостях, пожалуйста, сообщайте информацию, используя тот же список рассылки по безопасности, который используется для сообщения об уязвимостях.

Присоединение к списку рассылки с объявлениями по безопасности

Список рассылки с объявлениями по безопасности crossplane-security-announce@lists.cncf.io будет использоваться для объявления об уязвимостях, часто до того, как исправление станет доступным, ограниченному кругу пользователей Crossplane и поставщиков.

Любая организация или частное лицо, которое непосредственно использует Crossplane и неосновные пакеты в производстве или в критически важных с точки зрения безопасности приложениях, имеет право присоединиться к списку рассылки по безопасности. Косвенные пользователи, которые используют Crossplane через поставщика, не должны присоединяться, но должны попросить своего поставщика присоединиться. Чтобы присоединиться к рассылке, физическое лицо или организация должны быть спонсированы либо сопровождающим Crossplane, либо консультантом по безопасности, а также иметь опыт надлежащего обращения с непубличной информацией по безопасности. Если спонсор не может быть найден, запрос на спонсорство можно отправить по адресу crossplane-security-announce@lists.cncf.io. Запрос на спонсорство не должен отправляться через публичные каналы, поскольку членство в списке рассылки по безопасности не является публичным.

Опубликовать ( 0 )

Вы можете оставить комментарий после Вход в систему

1
https://api.gitlife.ru/oschina-mirror/mirrors-crossplane.git
git@api.gitlife.ru:oschina-mirror/mirrors-crossplane.git
oschina-mirror
mirrors-crossplane
mirrors-crossplane
master
Опубликовать
Отчет о репозитории
Вернуться к началу