报告安全问题

如何向 Dapr 维护者报告安全顾虑或漏洞。

Dapr 项目和维护者将安全作为我们运营和设计软件的核心关注点。从 Dapr 二进制文件到 GitHub 发布流程,我们采取了众多措施来确保用户应用程序和数据的安全。有关 Dapr 安全功能的更多信息,请访问安全页面

涵盖的仓库和问题

当我们说"Dapr 中的安全漏洞"时,这指的是 dapr GitHub 组织下任何仓库中的安全问题。

此报告流程仅适用于 Dapr 项目本身的安全问题,不适用于使用 Dapr 的应用程序或不影响安全的问题。

如果问题无法通过更改上述涵盖的仓库之一来解决,建议在相应的仓库中创建 GitHub issue 或在 Discord 中提出问题。

如果您不确定,请谨慎行事,在通过 GitHub、Discord 或其他渠道提出问题之前,先使用报告流程与我们联系。

明确不涵盖:漏洞扫描器报告

我们不接受仅仅是复制粘贴漏洞扫描工具输出的报告,除非已经做了具体工作来确认工具报告的漏洞在 Dapr 中确实存在,包括 CLI、Dapr SDK、components-contrib 仓库或 Dapr 组织下的任何其他仓库。

我们自己使用这些工具,并尝试根据它们产生的输出采取行动。然而,我们倾向于发现,当这些报告发送到我们的安全邮件列表时,它们几乎总是代表误报,因为这些工具倾向于检查库的存在,而不考虑库在上下文中如何使用。

如果我们收到的报告似乎只是来自扫描器的漏洞列表,我们保留忽略它的权利。

当工具生成的漏洞标识符不可公开可见或以某种方式为专有时,这尤其适用。我们可以查找 CVE 或其他公开可用的标识符以获取更多详细信息,但无法对专有标识符执行相同的操作。

安全联系人

有权阅读您的安全报告的人员列在 maintainers.md 中。

报告流程

  1. 用英语描述问题,最好提供一些允许重现问题的示例配置或代码。解释您为什么认为这是 Dapr 中的安全问题。
  2. 将该信息放入电子邮件中。使用描述性标题。
  3. 发送电子邮件至 Security (security@dapr.io)

响应

响应时间可能会受到周末、节假日、休息或时区差异的影响。尽管如此,维护者团队会尽快回复,理想情况下在 3 个工作日内。

如果团队确认报告的问题确实是 Dapr 项目中的安全漏洞,维护者团队中至少有两名成员会尽快讨论下一步措施,理想情况下在 24 小时内。

一旦团队确定报告确实是真正的漏洞,团队中的一员会向报告者回复,确认问题并建立披露时间表,这应该尽快完成。

分类、响应、修复和公告应在 30 天内完成。