处理安全问题
摘自 PostgreSQL Wiki
跳转至导航跳转至搜索此页面面向开发人员,包含有关如何应对安全问题和如何准备安全版本的相关信息。
注意:如果您是一名用户,希望报告安全问题或了解 PostgreSQL 项目如何应对安全问题,请访问 https://postgresql.ac.cn/support/security。您正在查看的 Wiki 页面面向开发人员。
[email protected]
电子邮箱地址 [email protected] 是咨询所有安全问题时的推荐联系点。它目前指向 [email protected]。
安全团队
安全团队是一个封闭订阅列表,其目的是在受控小组中讨论安全问题。当前成员:
- Álvaro Herrera
- Andres Freund
- Andrew Dunstan
- Bruce Momjian
- Dave Page
- Greg Stark
- Heikki Linnakangas
- Joe Conway
- Jonathan Katz
- Magnus Hagander
- Michael Paquier
- Noah Misch
- Peter Eisentraut
- Robert Haas
- Stefan Kaltenbrunner
- Tom Lane
响应安全漏洞报告
对于通过 security@ 地址报告的安全漏洞报告,按照处理 pgsql-bugs 上普通漏洞报告的方式予以响应。唯一区别在于,问题不应向安全团队和原始报告者以外的任何人披露。
提交安全问题补丁
如果 git 提交日志消息与以下项匹配:
/^Security:/
那么 pgsql-committers 上的消息将被暂停以进行审核。在提交安全问题的补丁时,应发挥此功能,从而在包括此修复程序的版本发布之前,修复程序的详细信息不会向全世界广播。参见 此示例,了解完成此项操作的提交消息。如该示例所示,建议使用类似于“Security: CVE-number”之类的样式或对安全标记原因的其他引用。
CVE 编号
应为每个安全问题申请一个 CVE 编号。此编号应包含在所有提交消息、公告等中。可在 developer.postgresql.org 的 ~petere/can-request.txt 中找到描述此过程的文档(仅对具有 shell 访问权限的人员可用,因为这不是公开文档)。通常由负责处理修复问题和准备安全发布的人员(通常是 Tom Lane)负责请求 CVE 编号。
