跳到主要内容
安全策略
了解如何向我们报告安全问题。

报告安全问题

要报告安全问题,请发送电子邮件至 security@cloudberrydb.org。本项目遵循 90 天披露时间计划。我们将通过 GitHub 发布安全公告

你将在两周内收到回复。如果由于某种原因没有收到回复,请通过电子邮件保持跟进,以确保我们收到你发送的消息。

请提供下列所需信息(尽可能多地提供),以帮助我们更好地了解潜在问题的性质和范围:

  • 问题类型(例如缓冲区溢出、SQL 注入、跨站点脚本等)
  • 与问题相关的源文件的完整路径
  • 受影响的源代码的位置(标记/分支/提交或直接 URL)
  • 重现问题所需的任何特殊配置
  • 重现问题的分步说明
  • 概念验证或漏洞代码(如果可能)
  • 问题的影响,包括攻击者如何利用该问题

这些信息将帮助我们更快地对你的报告做出分类。

禁止

为了更好地协作,我们期待你:

  • 不要在 GitHub 上提交安全漏洞有关的公开 ISSUE。
  • 不要通过此渠道报告不影响安全的 bug。如果您对使用、开发有任何疑问,请使用 GitHub Issues、Discussions 或 Slack

处理流程

以下是安全问题的处理流程概述:

  • 报告者将安全问题报告给 Cloudberry Database 团队。
  • Cloudberry Database 团队调查报告并决定接受或拒绝报告。如果我们的团队拒绝报告,团队将向报告者解释原因。如果我们接受报告,我们的团队将与报告者私下合作解决安全问题。
  • 发布包含修复程序的新版本的 Cloudberry Database。
  • 公开安全问题。

优选语言

我们倾向沟通使用中文或英语沟通。


感谢你为 Cloudberry Database 的安全做出贡献!