漏洞管理¶
報告漏洞¶
如安全策略中所述,安全漏洞可以透過GitHub私下報告給專案。
漏洞管理團隊¶
漏洞報告給專案後,漏洞管理團隊 (VMT) 負責管理該漏洞。VMT 負責:
- 分類處理漏洞。
- 與報告者和專案維護者協調漏洞分析和解決方案。
- 酌情為已確認的漏洞起草安全公告。
- 與專案維護者協調修復程式和安全公告的協調發布。
安全公告¶
公告透過 GitHub 釋出,使用與報告漏洞相同的系統。有關該流程的更多資訊可在GitHub 文件中找到。
團隊成員¶
我們傾向於將所有與漏洞相關的溝通保留在 GitHub 上的安全報告中。但是,如果您需要直接聯絡 VMT 處理緊急問題,您可以聯絡以下人員:
- Simon Mo - [email protected]
- Russell Bryant - [email protected]
- Huzaifa Sidhpurwala - [email protected]
Slack 討論¶
您可以使用 vLLM Slack 中的 #security 頻道討論與安全相關的話題。但是,請不要在此頻道中披露任何漏洞。如果您需要報告漏洞,請使用 GitHub 安全公告系統或私下聯絡 VMT 成員。
漏洞披露¶
漏洞披露流程如下:
- VMT 將與專案維護者合作開發漏洞修復程式。
- VMT 將與報告者和專案維護者協調,準備一份充分描述漏洞及其影響的安全公告。
- VMT 將與專案維護者協調發布修復程式,併發布包含該修復程式的更新。
- VMT 將在 GitHub 上釋出安全公告。發行說明將更新以包含對安全公告的引用。
VMT 和專案維護者將努力縮短披露漏洞任何公開資訊與釋出修復程式和公告之間的時間。