跳到主要内容

漏洞管理

本页描述IvorySQL的漏洞管理流程。

漏洞响应

IvorySQL 社区非常重视社区版本的安全性,IvorySQL 社区安全小组(SIG Security)负责接收、调查和披露 IvorySQL 社区相关的安全漏洞。我们鼓励漏洞研究人员和行业组织主动将 IvorySQL 社区的疑似安全漏洞报告给 IvorySQL 社区安全小组。我们会快速的响应、分析和解决上报的安全问题或安全漏洞。

IvorySQL基于PostgreSQL,因此PostgreSQL发现与修复的漏洞同样适用于IvorySQL, 对PostgreSQL社区安全信息 我们的开发团队持续关注,并及时将PostgreSQL社区的漏洞补丁引入IvorySQL。

支持版本

漏洞响应流程主要支持 IvorySQL 社区的当前最新发行版和其分支版本。

漏洞处理流程

每一个安全漏洞都会有一个指定的人员进行跟踪和处理,协调员是 IvorySQL 安全小组的成员,负责跟踪和推动漏洞的修复和披露。漏洞端到端的处理流程如下图:

process

在这里我们主要介绍流程中漏洞上报、漏洞评估和漏洞披露这三部分内容。

漏洞上报方式

您可以通过 email 将 IvorySQL 产品的潜在安全漏洞发送到 IvorySQL 安全小组邮箱 security@ivorysql.org

漏洞上报内容

为了便于快速的确认和验证疑似漏洞,请在漏洞上报邮件中包含但不限于以下内容:

  • 基本信息:包括漏洞影响的模块、漏洞的触发条件和成功利用后对系统的影响等
  • 技术细节:包括系统配置、定位方法、Exploit 的描述、POC、问题重现方法和步骤等
  • 修复方案建议
  • 上报者的组织和联系方式
  • 上报者可能的漏洞披露计划

邮件响应时间

我们将在 5 天内响应通过邮箱上报的疑似安全漏洞,并向上报者反馈漏洞处理的进展。

漏洞严重性评估

我们将使用CVSS 标准评估漏洞的严重性,并将其按照严重等级分类为: 致命(Critical)、高(High)、中(Medium)、低(Low)、无(None)

漏洞披露

为了保护 IvorySQL 用户的安全,在进行调查、修复和发布安全公告之前,IvorySQL 社区会严格控制漏洞信息的范围,将之限制在仅处理漏洞的相关人员之间传递,不会公开披露、讨论或确认 IvorySQL 产品的安全问题,同时也要求漏洞上报者对此漏洞进行保密,直到对外公开披露。安全漏洞修复后 IvorySQL 社区会通过 securityannounce@ivorysql.org 邮件订阅列表发布公告。