安全问题
编辑该页面警告:你浏览的文档欧宝官网下载appob娱乐下载Symfony 2.8,不再维护。
读这个页面的更新版本Symfob娱乐下载ony 6.2(当前的稳定版本)。
安全问题
本文解释了Symfony Symfony处理安全问题的ob娱乐下载核心团队(Symfony是托管在主要的代码ob娱乐下载symfony / symfonyGit存储库)。
报告安全问题
如果你认为你已经找到了一个安全问题在Symfony中,不使用bug追踪器和不公开发布它。ob娱乐下载相反,必须发送到所有安全问题安全[在]symfony.cob娱乐下载om。邮件发送到这个地址转发到私人邮件列表Symfony核心团队。ob娱乐下载
解决的过程
对于每一个报告,我们第一次尝试确认漏洞。当它被证实,核心团队致力于解决以下步骤:
- 发送一个确认记者;
- 工作在一片;
- 得到一个CVE标识符mitre.org;
写一个安全公告官方Symfonyob娱乐下载博客的弱点。这篇文章应该包含以下信息:
- 一个标题,它总是包括“安全释放”字符串;
- 脆弱的描述;
- 受影响的版本;
- 可能的利用;
- 补丁/升级/解决方案如何影响应用程序;
- CVE标识符;
- 学分。
- 发送补丁和公告的记者审查;
- 将补丁应用于所有Symfony的维护版本;ob娱乐下载
- 为所有受影响的版本包的新版本;
- 发布,Symfony官方ob娱乐下载博客(它还必须被添加到”“安全警告”_”一类);
- 更新公共安全报告数据库由FriendsOfPHP组织和维护使用的
安全:检查命令。
请注意
版本,包括安全问题不应该在周六或周日,除非脆弱性已经公开发布。
请注意
虽然我们正在一个补丁,请不要公开揭示的问题。
请注意
决议需要几天到一个月之间根据其复杂性和协调与下游项目(见下一段)。
与下游开源项目合作
Symob娱乐下载fony被许多大型开源项目一样,我们标准化Symfony的安全团队合作与下游项目安全问题。工作过程如下:
- Symfony安全团ob娱乐下载队后承认一个安全问题,它会立即向下游项目安全团队发送电子邮件通知他们的问题;
- Symfob娱乐下载ony安全团队创建一个私人Git存储库来缓解在这个问题上的合作和访问这些存储库的Symfony安全团队,Symfony的贡献者所影响的问题,并分别代表下游项目;
- 所有人访问私人存储库工作在一个解决方案来解决这个问题通过拉请求,代码检查,和评论;
- 一旦找到解决,所有参与项目协作找到最好的联合发布日期(不能保证所有版本将在同一时间,但我们将努力使他们大约在同一时间)。当问题是不知道被利用在野外,一段两周似乎是一个合理的时间。
下游的列表项目参与这一过程保持尽可能小,以便更好地管理的流程之前披露的机密信息。因此,项目包括在Symfony安全团队的唯一的自由裁量权。ob娱乐下载
截至今天,以下项目验证这个过程和下游项目的一部分包含在这个过程:
- Drupal(版本通常发生在星期三)
- eZPublish
安全警告
提示
你可以检查你使用Symfony应用已知ob娱乐下载的安全漏洞安全:检查命令(见如何检查你的依赖关系已知的安全漏洞吗)。
检查安全警告博客类别的所有安全漏洞的列表是固定在Symfony的版本中,从Symfony 1.0.0。ob娱乐下载
