安全问题

编辑本页

警告:您正在浏览的文档欧宝官网下载appob娱乐下载Symfony 2.4,现已不再维护。

本页的更新版本用于Syob娱乐下载mfony 6.2(当前稳定版本)。

安全问题

本文档解释了Symfony核心团队是如何处理Symfoob娱乐下载ny安全问题的(Symfony是主机上托管的代码)ob娱乐下载symfony / symfonyGit存储库).

报告安全问题

如果您认为在Symfony中发现了安全问题,请不要使用邮件列表或错误跟踪器,也不要公开发布它。ob娱乐下载相反,所有安全问题都必须发送到www.pdashmedia.com的安全ob娱乐下载.发送到此地址的电子邮件将被转发到Symfony核心团队的私人邮件列表。ob娱乐下载

解决的过程

对于每个报告,我们首先尝试确认漏洞。确认后,核心团队按照以下步骤制定解决方案:

  1. 向记者发送确认;
  2. 在补丁上工作;
  3. 从mitre.org获取CVE标识符;
  4. 为官方Symfony编写安全公告ob娱乐下载博客关于漏洞。这篇文章应包含以下信息:

    • 标题总是包含“安全发布”字符串;
    • 漏洞描述;
    • 受影响的版本;
    • 可能的利用;
    • 如何修补/升级/解决受影响的应用程序;
    • CVE标识符;
    • 学分。
  5. 将补丁和公告发送给记者审核;
  6. 将补丁应用到Symfony的所有维护版本;ob娱乐下载
  7. 为所有受影响的版本打包新版本;
  8. 在Symfony官方发布这篇文章ob娱乐下载博客(它也必须添加到“安全建议_”类别中);
  9. 更新安全咨询列表(见下文)。

请注意

包含安全问题的发布不应在周六或周日进行,除非该漏洞已公开发布。

请注意

当我们正在做补丁的时候,请不要公开这个问题。

请注意

解决方案需要几天到一个月的时间,这取决于它的复杂性和与下游项目的协调(见下一段)。

与下游开源项目合作

由于Sob娱乐下载ymfony被许多大型开源项目所使用,我们标准化了Symfony安全团队与下游项目在安全问题上的协作方式。具体流程如下:

1.在Symfony安全ob娱乐下载团队确认安全问题后,它立即向下游项目安全团队发送电子邮件,告知他们该问题;

2.Symfob娱乐下载ony安全团队创建了一个私有Git存储库,以简化问题上的协作,并将此存储库的访问权授予Symfony安全团队、受问题影响的Symfony贡献者以及每个下游项目的代表;

3.所有能够访问私有存储库的人都致力于通过拉请求、代码审查和注释来解决问题;

4.一旦找到修复,所有涉及的项目合作寻找联合发布的最佳日期(不能保证所有发布将在同一时间,但我们将努力使他们在同一时间)。当这个问题还不知道是否在野外被利用时,两周的时间似乎是合理的。

参与这一过程的下游项目列表保持尽可能小,以便在披露之前更好地管理机密信息的流动。因此,Symfony安全团队可以自行决定是否包含项目。ob娱乐下载

到目前为止,以下项目已经验证了该流程,并且是该流程中包含的下游项目的一部分:

  • Drupal(通常在周三发布)
  • eZPublish

安全警告

本节索引从Symfony 1.0.0开始在Symfony发行版中修复的安全漏洞:ob娱乐下载

此工作,包括代码示例,是根据创作共用BY-SA 3.0许可证。