报告安全问题
要报告安全问题,请发送电子邮件至 security@cloudberrydb.org。本项目遵循 90 天披露时间计划。我们将通过 GitHub 发布安全公告。
你将在两周内收到回复。如果由于某种原因没有收到回复,请通过电子邮件保持跟进,以确保我们收到你发送的消息。
请提供下列所需信息(尽可能多地提供),以帮助我们更好地了解潜在问题的性质和范围:
- 问题类型(例如缓冲区溢出、SQL 注入、跨站点脚本等)
- 与问题相关的源文件的完整路径
- 受影响的源代码的位置(标记/分支/提交或直接 URL)
- 重现问题所需的任何特殊配置
- 重现问题的分步说明
- 概念验证或漏洞代码(如果可能)
- 问题的影响,包括攻击者如何利用该问题
这些信息将帮助我们更快地对你的报告做出分类。
禁止
为了更好地协作,我们期待你:
- 不要在 GitHub 上提交安全漏洞有关的公开 ISSUE。
- 不要通过此渠道报告不影响安全的 bug。如果您对使用、开发有任何疑问,请使用 GitHub Issues、Discussions 或 Slack。
处理流程
以下是安全问题的处理流程概述:
- 报告者将安全问题报告给 Cloudberry Database 团队。
- Cloudberry Database 团队调查报告并决定接受或拒绝报告。如果我们的团队拒绝报告,团队将向报告者解释原因。如果我们接受报告,我们的团队将与报告者私下合作解决安全问题。
- 发布包含修复程序的新版本的 Cloudberry Database。
- 公开安全问题。
优选语言
我们倾向沟通使用中文或英语沟通。
感谢你为 Cloudberry Database 的安全做出贡献!