漏洞管理¶
報告漏洞¶
如安全策略中所述,可以透過GitHub私密報告安全漏洞給專案。
漏洞管理團隊¶
一旦漏洞報告給專案,漏洞管理團隊(VMT)將負責管理該漏洞。VMT 負責:
- 分類漏洞。
- 與報告者和專案維護者協調漏洞分析和解決。
- 起草已確認漏洞的安全公告(如適用)。
- 與專案維護者協調,協調發布補丁和安全公告。
安全公告¶
公告透過 GitHub 釋出,使用的系統與報告漏洞的系統相同。有關該過程的更多資訊,請參閱GitHub 文件。
團隊成員¶
我們更傾向於將所有與漏洞相關的溝通保留在 GitHub 的安全報告中。但是,如果您需要因緊急問題直接聯絡 VMT,可以聯絡以下人員:
- Simon Mo - [email protected]
- Russell Bryant - [email protected]
- Huzaifa Sidhpurwala - [email protected]
Slack 討論¶
您可以使用vLLM Slack中的 #security 頻道討論安全相關話題。但是,請勿在此頻道披露任何漏洞。如果您需要報告漏洞,請使用 GitHub 安全公告系統或私下聯絡 VMT 成員。
漏洞披露¶
披露漏洞的流程如下:
- VMT 將與專案維護者合作開發漏洞的補丁。
- VMT 將與報告者和專案維護者協調,準備一份充分說明漏洞及其影響的安全公告。
- VMT 將與專案維護者協調,釋出包含該補丁的更新。
- VMT 將在 GitHub 上釋出安全公告。釋出說明將更新以包含對安全公告的引用。
VMT 和專案維護者將努力縮短披露任何公開漏洞資訊與釋出補丁和公告之間的時間。