SSWG - 软件包索引的安全要求
SSWG 软件包索引的安全要求
本文信息面向那些已经被 SSWG 孵化并列在软件包索引中的包作者,或者正在考虑向 SSWG 提议/推荐其软件包的作者。如果您发现(或听说)了一个安全漏洞并想要报告,请查看这里。
被 SSWG 孵化并列在 SSWG 软件包索引中的包必须遵循以下安全准则。
在涉及安全漏洞时,确保发现漏洞的人能够快速找到如何报告的信息是至关重要的。作为包的作者,您最清楚在哪里放置有关您软件的重要信息。请记住,许多用户首先会看到您的代码仓库的说明文件(通常是 README.md
)。因此,请确保在那里链接到您的安全政策。
建议在您的代码仓库根目录下放置一个名为 SECURITY.md
的文件来存放完整的安全政策。值得注意的是,一些平台(如 GitHub)会自动发现并推广 SECURITY.md
,这使得用户更容易找到相关信息。
我们也鼓励项目作者使用其源代码控制系统的安全功能(例如:GitHub 的”安全公告”和 GitLab 的”机密议题”)来管理漏洞并通知用户。
主要要求包括:
- 在您的安全政策(通常是
SECURITY.md
)中,尽可能简单明确地描述您的软件包的安全流程是如何运作的。这包括在哪里以及如何报告,以及修复的预期时间线。 - 确保您的安全政策易于找到。例如,将其命名为
SECURITY.md
并在主要说明文件中链接到它。 - 在您的安全政策中列出明确的安全漏洞报告联系点(例如电子邮件地址)。
- 安全漏洞的联系点应该是私密的。这意味着只有您和您的维护者可以访问,特别是它不应该在互联网上公开可见。同时,最好在联系点旁边准确描述谁可以访问这些信息。
- 目标是让用户尽可能容易地向您报告安全漏洞。试图消除报告漏洞时的所有歧义和困难。在许多情况下,您将依赖他人的业余时间来报告漏洞。