处理安全漏洞报告

本信息适用于那些拥有被 SSWG 孵化并在 SSWG 软件包索引中列出的软件包的作者。如果您发现（或听说）了一个想要报告的安全漏洞，请查看这里。

在您的代码中发现安全漏洞可能会令人感到不安，但这是每个软件开发者生活中的一部分。首先，请不要紧张。如果您在任何步骤中需要帮助，请随时联系任何 SSWG 成员或通过 [email protected] 联系整个团队。

以下是关于 SSWG 相关事项的逐步指南：

1. SSWG 只是一个可以广播漏洞信息的次要联系点。最好的开始方式是根据您自己软件包的安全流程来处理漏洞。
2. 在发现/收到漏洞通知后，请尽快（但不超过 10 个日历日）通过 [email protected] 通知 SSWG 关于该漏洞的情况。SSWG 不会披露有关此漏洞的任何信息，这些邮件只能被服务器板块中列出的 SSWG 成员以及 Swift 核心团队成员看到。如果您希望只与更小的群体分享漏洞信息，请随时单独联系任何 SSWG 成员。
3. 在修复漏洞后，请及时（在发布修复版本后的三天内）在 Server > Security Updates 分类下创建一个新的 Swift 论坛帖子，链接到您自己的安全公告。安全公告应至少包含哪些版本的软件受到影响，以及如何更新到未受影响的版本。

对于已毕业的项目，我们期望从最初的报告/发现到修复和发布漏洞的整个过程在 30 天内完成。但是，我们也承认某些类型的漏洞要么非常复杂难以解决，要么是”协调披露”的一部分，这意味着 30 天可能不够。这是完全可以理解的，但请务必通过 [email protected] 告知 SSWG 您预计的时间表以及与计划的任何重大偏差。

如果软件包维护者未能报告或处理漏洞，可能会导致 SSWG 发布安全公告，并可能导致撤销项目的状态并将其列入不推荐项目列表。在某些情况下，SSWG 可能会选择寻找一个技术贡献者来帮助解决安全问题，以最大限度地减少对生态系统的影响。SSWG 的行动将根据具体情况决定，并需要超级多数投票通过。

我们也鼓励项目作者使用他们的源代码控制系统的安全功能（例如：GitHub 的”安全公告”和 GitLab 的”机密问题”）来管理漏洞并通知用户。