SSWG - 索引包的安全要求
SSWG 索引包的安全要求
此信息旨在为软件包作者提供帮助,这些作者的软件包由 SSWG 孵化并在软件包索引中列出,或者正在考虑推介/提议将其软件包列出。如果您发现(或听说)想要报告的安全漏洞,请查看此处。
由 SSWG 孵化并在 SSWG 的软件包索引上列出的软件包,需要遵循以下关于安全性的指南。
在涉及安全漏洞的情况下,关键是要确保发现您的软件包中漏洞的人员可以快速找到有关如何报告漏洞的信息。作为软件包作者,您最了解在哪里放置有关您的软件的重要信息。请记住,您的许多用户会首先看到您仓库的 readme 文件(通常是 README.md)。因此,请务必从那里链接到您的安全策略。
存储完整的安全策略,建议放在仓库根目录中名为 SECURITY.md 的文件中。还值得注意的是,一些供应商(如 GitHub)会自动发现并推广 SECURITY.md,这使得您的用户更容易找到相关信息。
还鼓励项目作者使用其源代码控制系统的安全功能(例如:GitHub 的“Security Advisories” 和 GitLab 的“Confidential Issues”)来管理漏洞并告知用户。
关键要求是:
- 在您的安全策略(通常是
SECURITY.md)中,尽可能简单明了地描述您的软件包的安全流程是如何运作的。这包括在哪里以及如何报告,以及修复的预期时间表。 - 确保您的安全策略易于查找。例如,将其命名为
SECURITY.md,并从您的主 readme 文件中链接到它。 - 在您的安全策略中,列出明确的安全漏洞报告联系点(例如,电子邮件地址)。
- 安全漏洞的联系点应该是私密的。这意味着它只能由您和您的维护者访问,尤其是在互联网上不能公开访问。最佳实践是与联系点一起描述清楚谁可以访问该信息。
- 目标是让用户尽可能轻松地向您报告安全漏洞。尝试消除报告漏洞的所有歧义和困难。在许多情况下,您将依赖某人的业余时间来报告漏洞。