处理安全漏洞报告

此信息适用于软件包作者，他们的软件包由 SSWG 孵化并在 SSWG 的软件包索引中列出。如果您发现（或听说）您想要报告的安全漏洞，请查看此处。

在您的代码中发现安全漏洞可能会让人感到气馁，但这是任何软件开发人员生活的一部分。 所以首先，不要紧张。 如果您在任何步骤中需要任何帮助，请随时通过 sswg-security-reports@forums.swift.org 联系任何 SSWG 成员或整个小组。

以下是关于 SSWG 的操作步骤指南

1. SSWG 只是一个辅助联络点，可以广播有关漏洞的信息。 最好的开始方式是根据您自己的软件包的安全流程开始处理漏洞。
2. 在您能够尽快的情况下 – 但在发现/收到关于漏洞的通知后的 10 个日历日内 – 请通过 sswg-security-reports@forums.swift.org 通知 SSWG 关于该漏洞。 SSWG 不会披露有关此漏洞的任何信息，并且只有 服务器部分以及Swift 核心团队上列出的 SSWG 成员才能看到这些电子邮件。 如果您希望仅与一个较小的群体分享漏洞，请随时联系任何 SSWG 成员个人。
3. 修复漏洞后，请及时（在发布修复版本后的三天内）在 服务器 > 安全更新 类别中创建一个新的 Swift 论坛帖子，链接到您自己的安全公告。 安全公告应至少包含哪些版本的哪些软件受到影响以及如何更新到不受影响的版本。

已毕业的项目预计在 30 天内完成整个流程 – 从最初的报告/发现到修复和发布漏洞。 但是，我们承认某些类型的漏洞要么非常复杂难以解决，要么是“协同披露”的一部分，这意味着 30 天可能不够。 这是完全可以理解的，但请务必将您预计的时间表以及与计划的任何重大偏差告知 SSWG（通过 sswg-security-reports@forums.swift.org）。

软件包维护者未能报告或解决漏洞可能会导致 SSWG 发布安全公告，并可能导致撤销项目的状态并将其列在不推荐项目列表中。 在某些情况下，SSWG 可能会选择寻找技术贡献者来帮助解决安全问题，以最大限度地减少对生态系统的影响。 SSWG 的行动将根据具体情况决定，并需要超级多数投票。

还鼓励项目作者利用其源代码控制系统的安全功能（例如：GitHub 的“安全公告”和 GitLab 的“机密问题”）来管理漏洞并告知其用户。