Безопасность

Git LFS — это общественный проект с открытым исходным кодом, поддерживаемый GitHub и широким сообществом других организаций и индивидуальных участников. Сообщество Git LFS серьезно относится к безопасности нашего проекта, включая все репозитории исходного кода, управляемые через нашу организацию на GitHub организация.

Если вы считаете, что нашли уязвимость безопасности в любом репозитории клиентского программного обеспечения Git LFS, пожалуйста, сообщите нам как указано ниже.

Если вы считаете, что нашли уязвимость безопасности в службе API Git LFS, пожалуйста, сообщите об этом соответствующей компании-хостингу (например, Atlassian, GitLab, GitHub и т.д.), следуя их предпочитаемому процессу отчетности о проблемах безопасности.

Отчет о проблемах безопасности

Пожалуйста, не сообщайте о проблемах безопасности через открытые GitHub-issues.

Если вы считаете, что нашли уязвимость безопасности в клиентском программном обеспечении Git LFS, включая любые наши модули на Go, такие как gitobj или pktline, пожалуйста, сообщите об этом по электронной почте одному из членов основной команды Git LFS основная команда.Адреса электронной почты членов основной команды можно найти либо на их личных страницах GitHub, либо просто просматривая историю коммитов данного проекта; все коммиты членов основной команды должны содержать адрес электронной почты в поле журнала Git "Author".Если это возможно, зашифруйте свое сообщение ключом PGP члена основной команды. Эти ключи можно найти, выполнив поиск на публичном сервере ключей или из списка членов команды на нашей домашней странице.

Если вы не получили своевременного ответа (обычно в течение 24 часов после первого рабочего дня после вашего запроса), пожалуйста, отправьте повторное сообщение по электронной почте этому человеку и еще одному члену основной команды.

Пожалуйста, предоставьте запрошенную информацию (по возможности) для лучшего понимания природы и масштаба возможной проблемы:

• Тип проблемы (например, переполнение буфера, кросс-сайт скриптинг и т.д.)
• Полные пути исходных файлов, связанных с проявлением проблемы
• Расположение затронутого исходного кода (тэг/ветка/коммит или прямой URL)
• Любое специальное конфигурирование, необходимое для воспроизведения проблемы
• Шаги пошагового руководства по воспроизведению проблемы
• Пример эксплуатационного кода (если возможно)
• Воздействие проблемы, включая то, как атакующий может использовать эту уязвимость. Эта информация поможет нам быстрее отсеять ваш отчет.

Рекомендуется также ознакомиться с нашими руководствами для участников и с Открытым кодексом поведения.Обратите внимание, что поскольку клиент Git LFS является публичным проектом с открытым исходным кодом, он не входит ни в какие программы вознаграждения за уязвимости; однако реализации сервиса API Git LFS могут входить в такие программы в зависимости от провайдера хостинга.

Предпочитаемые языки

Мы предпочитаем все коммуникации на английском языке.