Политика безопасности

Поддерживаемые версии

Все стабильные версии Jetty активно поддерживаются в отношении проблем безопасности. Устаревшие версии могут поддерживаться для серьезных проблем безопасности или на коммерческой основе.

Отчет о уязвимости

Не создавайте публичный запрос для отчета о безопасности. Пожалуйста, отправьте сообщение на security@webtide.com, и мы создадим закрытый запрос, в котором можно будет проанализировать и обработать проблему.

Обработка уязвимостиСледующий список используется для обработки проблем безопасности:

• По получении отчета о безопасности через security@webtide.com или другие каналы, если он не может быть легко отклонён (уже исправлен, известно, что это не проблема и т. д.), то руководство проекта создаёт совет по безопасности в GitHub.
• Копируйте этот список как markdown в совет по безопасности для отслеживания завершения различных задач.
• Коммитеры Jetty и отчётчики добавляются в совет по безопасности. Индивидуальные коммитеры также могут быть указаны в комментариях для добавления.
• Первичная сортировка и обсуждение проводятся в комментариях совета по безопасности.
• Если достаточно информации для попытки воспроизведения или исправления, то создаётся закрытый репозиторий как часть совета по безопасности в GitHub.
• Если уязвимость не может быть подтверждена, то закройте совет по безопасности, иначе продолжайте.
• Сгенерируйте оценку CVE и добавьте её в описание совета по безопасности.
• Определите определение CWE и добавьте его в описание совета по безопасности.
• Определите и документируйте обходные пути, если применимо, в комментариях совета по безопасности.
• Откройте Gitlab@Eclipse CVE Allocation для получения CVE. Задача должна быть открыта в разделе "Eclipse Foundation" > "EMO Team" > "EMO" как "cve" описание, с отметкой "This issue is confidential". Следуйте шаблону для того, чтобы узнать, какие детали необходимы для подачи заявки на CVE.
• После выделения CVE обновите совет по безопасности номером CVE.
• Локально и в среде CI постройте и протестируйте исправление.
• Объедините тесты и исправление — убедитесь, что описание не упоминает уязвимость напрямую. Не объединяйте напрямую из совета по безопасности, так как это можно проследить до публикации.
• Постройте и подготовьте кандидата на выпуск.
• Уведомите заинтересованные стороны о предстоящем совете по безопасности и подготовленном выпуске:
  1. Включите номер CVE, оценку CVE и CWE.
  2. Включите обходные пути.
  3. Подчеркните, что это конфиденциально.
  4. Укажите, что совет по безопасности будет опубликован через 2 дня, если они не сообщат, что им требуется больше времени.
• Если тестирование прошло успешно, то выпуск продвигается.
• Заинтересованные стороны уведомлены о доступности выпуска на Maven Central.
• Опубликуйте совет по безопасности и CVE публично.
• Редактирование файла VERSION.txt для записи CVE номера против объединенного PR.
• Редактирование выпуска(ов) на Github для указания CVE номера, который был решен.
• Обновление нижестоящих изображений (Docker и т. д. ).
• Обновление проектной веб-страницы новыми сведениями о безопасности.
• Проверка процессов безопасности и завершения.