报告安全问题

如果你认为你已经找到了一个安全问题在Symfony中,不使用bug追踪器和不公开发布它。ob娱乐下载相反,必须发送到所有安全问题安全[在]symfony.cob娱乐下载om。邮件发送到这个地址转发到私人邮件列表Symfony核心团队。ob娱乐下载

以下问题不考虑安全问题,应作为常规处理bug修复(如果你有任何疑问,不要犹豫,给我们一个电子邮件确认):

• 发现的任何安全问题在调试工具,绝不能使在生产(包括网络分析器或任何时启用APP_DEBUG被设置为真正的或APP_ENV设置为不刺激);
• 任何可分为的修复安全性加强像路线枚举,登录节流绕过,拒绝服务攻击,攻击时机,或缺乏SensitiveParameter属性。

在任何情况下,核心团队的最终决定被认为是安全漏洞问题。

安全漏洞赏金

ob娱乐下载Symfony是一个开源项目,大部分工作是通过志愿者。我们感谢开发者试图发现安全问题在Symfony和负责任的报告,但我们目前无法支付错误赏金。ob娱乐下载

解决的过程

对于每一个报告,我们第一次尝试确认漏洞。当它被证实,核心团队致力于解决以下步骤:

1. 发送一个确认记者;
2. 工作在一片;
3. 得到一个CVE标识符mitre.org;

4. 写一个安全公告官方Symfonyob娱乐下载博客的弱点。这篇文章应该包含以下信息:

   • 一个标题,它总是包括“安全释放”字符串;
   • 脆弱的描述;
   • 受影响的版本;
   • 可能的利用;
   • 补丁/升级/解决方案如何影响应用程序;
   • CVE标识符;
   • 学分。
5. 发送补丁和公告的记者审查;
6. 将补丁应用于所有Symfony的维护版本;ob娱乐下载
7. 为所有受影响的版本包的新版本;
8. 发布,Symfony官方ob娱乐下载博客(它还必须被添加到”“安全警告”_”一类);
9. 更新公共安全报告数据库由FriendsOfPHP组织和维护使用检查:安全司令部。

与下游开源项目合作

Symob娱乐下载fony被许多大型开源项目一样,我们标准化Symfony的安全团队合作与下游项目安全问题。工作过程如下:

1. Symfony安全团ob娱乐下载队后承认一个安全问题,它会立即向下游项目安全团队发送电子邮件通知他们的问题;
2. Symfob娱乐下载ony安全团队创建一个私人Git存储库来缓解在这个问题上的合作和访问这些存储库的Symfony安全团队,Symfony的贡献者所影响的问题,并分别代表下游项目;
3. 所有人访问私人存储库工作在一个解决方案来解决这个问题通过拉请求,代码检查,和评论;
4. 一旦找到解决,所有参与项目协作找到最好的联合发布日期(不能保证所有版本将在同一时间,但我们将努力使他们大约在同一时间)。当问题是不知道被利用在野外,两周内被认为是合理的时间。

下游的列表项目参与这一过程保持尽可能小,以便更好地管理的流程之前披露的机密信息。因此,项目包括在Symfony安全团队的唯一的自由裁量权。ob娱乐下载

截至今天,以下项目验证这个过程和下游项目的一部分包含在这个过程:

• Drupal(版本通常发生在星期三)
• eZPublish

问题严重程度

为了确定一个安全问题的严重性,我们考虑任何潜在攻击的复杂性,脆弱性的影响,也有多少项目很可能影响。这得分15然后转换成水平:低、中、高、关键或特殊。

安全警告

检查安全警告博客类别的所有安全漏洞的列表是固定在Symfony的版本中,从Symfony 1.0.0。ob娱乐下载