SSWG - 软件包索引的安全要求

SSWG 软件包索引的安全要求

本文信息面向那些已经被 SSWG 孵化并列在软件包索引中的包作者,或者正在考虑向 SSWG 提议/推荐其软件包的作者。如果您发现(或听说)了一个安全漏洞并想要报告,请查看这里


被 SSWG 孵化并列在 SSWG 软件包索引中的包必须遵循以下安全准则。

在涉及安全漏洞时,确保发现漏洞的人能够快速找到如何报告的信息是至关重要的。作为包的作者,您最清楚在哪里放置有关您软件的重要信息。请记住,许多用户首先会看到您的代码仓库的说明文件(通常是 README.md)。因此,请确保在那里链接到您的安全政策。

建议在您的代码仓库根目录下放置一个名为 SECURITY.md 的文件来存放完整的安全政策。值得注意的是,一些平台(如 GitHub)会自动发现并推广 SECURITY.md,这使得用户更容易找到相关信息。

我们也鼓励项目作者使用其源代码控制系统的安全功能(例如:GitHub 的”安全公告”GitLab 的”机密议题”)来管理漏洞并通知用户。

主要要求包括: