漏洞管理流程

我们将在三个工作日内确认报告。
团队将调查报告的问题，并将相关信息更新到电子邮件线程中。团队可能会就报告的问题请求更多信息。
如果团队没有确认报告，将不会采取进一步行动，该问题将被关闭。
如果报告被 Ceph 团队成员确认，将为其分配一个唯一的 CVE 标识符，然后与报告者共享。Ceph 安全团队将开始着手修复。
如果报告者没有考虑披露日期，Ceph 安全团队成员将与列表成员协调发布日期（CRD），并与报告者共享双方同意的披露日期。
漏洞披露/发布日期设置为排除周五和假期时段。
对于严重和高度影响的问题，优先采用禁运措施。禁运期不应从漏洞确认之日起超过 90 天，除非出现特殊情况。对于影响有限且易于解决的低度和中等程度问题，或者问题已经公开，一旦分配 CVE，将遵循标准的补丁发布流程来修复漏洞。
“中等”和“低”严重程度问题的修复将作为下一轮标准发布周期的一部分发布。列表成员将在这些修复发布日期前收到七天的提前通知。CVE 修复的详细信息将包含在发布说明中，发布说明将链接在公开公告中。
提交将在一个私有仓库中处理以供审查和测试，并将从这个私有仓库发布一个新的补丁版本。
如果漏洞在公共仓库中无意中已被修复，将给下游利益相关者/供应商几天的时间在公开披露之前准备更新。
将发布公告披露漏洞。最快收到安全公告的地方是通过 ceph-announceceph-announce@ceph.io或oss-security@lists.openwall.com邮件列表。（这些列表流量较低）。

如果报告被认为处于禁运状态，我们请您在漏洞被修复和公告之前不要披露漏洞，除非您收到了 Ceph 安全团队的回复，表明您可以这样做。这适用于列表同意的公开披露日期。感谢您提高了 Ceph 及其生态系统的安全性。您的努力和负责任的披露非常受赞赏，并将得到认可。

由 Ceph 基金会带给您

Ceph 文档是一个社区资源，由非盈利的 Ceph 基金会资助和托管Ceph Foundation. 如果您想支持这一点和我们的其他工作，请考虑加入现在加入.