Вход Зарегистрироваться
Обзор
Проекты с открытым исходным кодом > Database Related > Database Services &&
Сканировать QR-код WeChat для оплаты
Отмена
Платеж завершен
Смотреть
Отписаться Следить за всеми активностями Следить только за динамикой выпуска обновлений Подписаться без уведомления
1 В избранное 0 Ответвления 0

OSCHINA-MIRROR/mirrors-gpdb

Код Wiki Статистика
Присоединиться к Gitlife
Откройте для себя и примите участие в публичных проектах с открытым исходным кодом с участием более 10 миллионов разработчиков. Приватные репозитории также полностью бесплатны :)
Присоединиться бесплатно
Клонировать/Скачать
HTTPS SSH SVN SVN+SSH
Копировать
Скачать ZIP
SECURITY.md 12 КБ
Копировать Редактировать Web IDE Исходные данные Просмотреть построчно История
gitlife-traslator Отправлено 28.11.2024 12:34 89f29fd

Процесс выпуска версий с исправлением уязвимостей

Greenplum Database придерживается этой политики раскрытия информации об уязвимостях и реагирования на них, чтобы обеспечить ответственное отношение к критическим проблемам.

Сообщение об уязвимости — процесс частного раскрытия

Безопасность имеет первостепенное значение, и все уязвимости безопасности или предполагаемые уязвимости должны сообщаться в Greenplum Database частным образом, чтобы минимизировать атаки против текущих пользователей Greenplum Database до их устранения. Уязвимости будут исследованы и исправлены в следующем патче (или минорной версии), как только это станет возможным. Эта информация может полностью оставаться внутри проекта.

Если вам известна публично раскрытая уязвимость безопасности для Greenplum Database, пожалуйста, НЕМЕДЛЕННО свяжитесь с командой проекта Greenplum Database (security@greenplum.org).

ВАЖНО: Не создавайте публичные проблемы на GitHub по уязвимостям безопасности!

Чтобы сообщить об уязвимости или проблеме, связанной с безопасностью, пожалуйста, свяжитесь с указанным адресом электронной почты, предоставив подробную информацию об уязвимости. Электронное письмо будет обработано командой проекта Greenplum Database. Электронные письма будут рассмотрены оперативно, включая подробный план исследования проблемы и возможные временные решения. Не сообщайте о проблемах, не влияющих на безопасность, через этот канал. Вместо этого используйте проблемы GitHub.

Предлагаемое содержание электронного письма

Укажите содержательную тему письма и в теле письма включите следующую информацию:

  • Основные данные о личности, такие как ваше имя и ваша принадлежность или компания.
  • Подробные шаги для воспроизведения уязвимости (скрипты POC, скриншоты и логи будут полезны для нас).
  • Описание влияния уязвимости на Greenplum Database и связанные конфигурации оборудования и программного обеспечения, чтобы команда проекта Greenplum Database могла воспроизвести её.
  • Как уязвимость влияет на использование Greenplum Database и оценка поверхности атаки, если она есть.
  • Список других проектов или зависимостей, которые использовались совместно с Greenplum Database для создания уязвимости.

Когда сообщать об уязвимости

  • Когда вы считаете, что у Greenplum Database есть потенциальная уязвимость безопасности.
  • Когда вы подозреваете потенциальную уязвимость, но не уверены, что она влияет на Greenplum Database.
  • Когда вам известно или вы подозреваете наличие потенциальной уязвимости в другом проекте, который используется Greenplum Database.

Патч, выпуск и раскрытие

Команда проекта Greenplum Database будет реагировать на сообщения об уязвимостях следующим образом:

  1. Команда проекта Greenplum проведёт исследование уязвимости и определит её последствия и критичность.

  2. Если проблема не считается уязвимостью, команда проекта Greenplum предоставит подробное обоснование отказа.

  3. Команда проекта Greenplum незамедлительно начнёт разговор с отправителем сообщения.

  4. Если уязвимость признана, и определена временная шкала для исправления, команда проекта Greenplum разработает план общения с соответствующим сообществом, включая определение шагов по смягчению последствий, которые затронутые пользователи могут предпринять для защиты себя до выпуска исправления.

  5. Команда проекта Greenplum также создаст CVSS с помощью калькулятора CVSS. Команда проекта Greenplum принимает окончательное решение о рассчитанном CVSS; лучше действовать быстро, чем сделать CVSS идеальным. Проблемы также могут быть сообщены в Mitre с использованием этого калькулятора оценки. CVE первоначально будет установлен как частный.

  6. Команда проекта Greenplum будет работать над исправлением уязвимости и проведёт внутреннее тестирование перед подготовкой к выпуску исправления.

  7. Дата публичного раскрытия согласовывается командой проекта Greenplum Database и отправителем ошибки. Мы предпочитаем полностью раскрывать ошибку как можно скорее после того, как станут доступны меры по снижению воздействия или патч. Задержка раскрытия возможна, когда ошибка или исправление Пока не удалось полностью разобраться или решение плохо протестировано, сроки раскрытия информации варьируются от немедленного (особенно если это уже общеизвестно) до нескольких недель. Последнее слово при определении даты публичного раскрытия остаётся за командой проекта Greenplum Database.

  8. Как только исправление будет подтверждено, команда проекта Greenplum внесёт его в следующий патч или минорный релиз и, при необходимости, выполнит перенос исправления на более ранние поддерживаемые релизы. После выпуска исправленной версии базы данных Greenplum мы будем следовать процессу публичного раскрытия.

Процесс публичного раскрытия

Команда проекта Greenplum публикует публичное уведомление для сообщества Greenplum Database через GitHub. В большинстве случаев дополнительное общение через Slack, Twitter, списки рассылки, блог и другие каналы помогает информировать пользователей Greenplum Database и распространять исправленный релиз среди затронутых пользователей.

Также команда проекта Greenplum опубликует любые шаги по снижению рисков, которые пользователи могут предпринять, пока исправление не будет применено к их экземплярам базы данных Greenplum.

Списки рассылки

  • Используйте адрес security@greenplum.org, чтобы сообщить о проблемах безопасности команде проекта Greenplum, которая использует этот список для частного обсуждения вопросов безопасности и исправлений перед раскрытием.

Конфиденциальность, целостность и доступность

Мы считаем уязвимости, приводящие к нарушению конфиденциальности данных, повышению привилегий или целостности, нашими наиболее приоритетными проблемами. Доступность, особенно в областях, связанных с DoS и исчерпанием ресурсов, также является серьёзной проблемой безопасности. Команда проекта Greenplum серьёзно относится ко всем уязвимостям, потенциальным уязвимостям и предполагаемым уязвимостям и будет расследовать их срочно и оперативно.

Обратите внимание, что в настоящее время мы не считаем настройки по умолчанию для базы данных Greenplum безопасными по умолчанию. Операторам необходимо явно настроить параметры, управление доступом на основе ролей и другие связанные с ресурсами функции в базе данных Greenplum, чтобы обеспечить защищённую среду базы данных Greenplum. Мы не будем предпринимать никаких действий по раскрытию информации о безопасности, связанной с отсутствием безопасных настроек по умолчанию. Со временем мы будем работать над улучшением конфигурации безопасности по умолчанию, учитывая обратную совместимость.

Опубликовать ( 0 )

Вы можете оставить комментарий после Вход в систему

1
https://api.gitlife.ru/oschina-mirror/mirrors-gpdb.git
git@api.gitlife.ru:oschina-mirror/mirrors-gpdb.git
oschina-mirror
mirrors-gpdb
mirrors-gpdb
main
Опубликовать
Отчет о репозитории
Вернуться к началу