黑人的命也是命

Ember.js安全政策

报告一个错误

我们非常认真地承担安全性。感谢您花时间负责任地披露您发现的任何问题。

Ember.js或Ember数据中的所有安全错误都应通过电子邮件报告给security@emberjs.com。此列表已发送到处理安全问题的核心团队的子集。您的电子邮件将在24小时内承认,您将收到带有48小时的电子邮件的更详细的回复,指示处理报告的后续步骤。如果您想要,您可以使用使用我们的公钥.

此电子邮件地址收到大量垃圾邮件,因此请务必使用描述性主题行以避免错过您的报告。在初始回复您的报告后,安全团队将努力为您致力于为修复和完全公告而进展的进展。如推荐的那样rfpolicy.,这些更新将至少每五天发送。实际上,这更有可能每24-48小时。

如果过去五天没有收到,您​​可以采取几步:

  1. 联系当前的安全协调员(罗伯特杰克逊) 直接地。
  2. 联系备份联系人(汤姆戴尔) 直接地。
  3. 邮寄Ember.js讨论论坛或者在#emberjs询问。

请注意,讨论论坛和Emberjs Discord服务器是公共场所。在这些场地上升时,请不要讨论您的问题。简单地说,试着试图抓住安全团队的人。

披露政策

Ember.js有一个5步披露政策。

  1. 收到安全报告并分配了主要处理程序。此人将协调修复和发布过程。问题已确认并确定所有影响版本的列表。代码被审核以查找任何潜在的类似问题。为所有仍在维护下的释放准备修复。这个修复是不是 致力于公共存储库,而是在宣布公告中担任本地。
  2. 选择此漏洞的建议禁运日期和一个CVE.(为漏洞分配了常见的漏洞和曝光(CVE®))。
  3. 在Ember.js上,安全邮件列表已发送通告副本。将更改推送到公共存储库,并将新构建存入Emberjs.com。在通知邮件列表的6小时内,将发布咨询的副本Ember.js博客.
  4. 通常,禁运日期将从CVE发布的时间开始72小时。然而,这可能会根据错误或难以应用修复的困难而有所不同。
  5. 这个过程可能需要一些时间,特别是当与其他项目的维护者需要协调时。每一切努力都将尽可能地处理错误,但是我们遵循上面的发布过程很重要,因此本公开以一致的方式处理。

接收安全更新

收到所有安全公告的最佳方式是订阅Ember.js安全邮件列表。邮件列表是非常低的流量,它在抵消抵消的那一刻收到公共通知。

在禁运终身之前,将在核心团队和初始记者之外没有人通知。我们遗憾的是,对于高流量或重要网站,我们无法对这一政策进行异常,因为任何超出协调修复所需的最低限度的披露会导致漏洞的早期泄漏。

评论这项政策

如果您有任何建议来改进此政策,请发送电子邮件security@emberjs.com.