Apache 安全团队指导 Apache 项目处理安全问题,并协调所有安全漏洞的处理。该团队是涵盖所有 Apache 项目的 CVE 编号机构 (CNA),并且是唯一能够为 Apache 软件基金会项目问题分配 ID 的团队。每个项目都会发布安全公告,可以通过项目安全公告查看。
我们强烈建议您在公开论坛披露之前,首先将潜在的安全漏洞报告给我们其中一个私有的安全邮件列表。
可以访问Apache 项目安全联系人列表。如果您找不到特定项目的安全电子邮件地址,并且需要报告尚未公开的安全漏洞,请使用以下通用安全地址。
仅使用安全联系人报告 Apache 项目中尚未公开的安全漏洞,并管理修复此类漏洞的过程。我们无法在这些地址接受常规错误报告或其他与安全相关的查询。我们将忽略发送到这些地址的与 Apache 项目中尚未公开的安全问题无关的邮件。
另请注意,安全团队处理 Apache 项目中的漏洞,而不是运行 ASF 服务。将 ASF 服务中的漏洞报告发送至[email protected]。(这包括 apache.org 网站的问题)
通用安全邮件列表地址为:[email protected]。这是一个私有邮件列表。
请针对您要报告的每个漏洞发送一封纯文本、未加密的电子邮件。如果您以图像、电影、HTML 或 PDF 附件的形式发送报告,而您可以轻松地用纯文本描述它,我们可能会要求您重新提交您的报告。
这些是我们非常了解并且已经多次向我们报告过的事情,但我们不将其归类为安全漏洞。请勿报告它们。
未被归类为安全相关的问题
您通常可以在 Apache 项目的网页上找到有关已知漏洞的信息。为了方便起见,请查阅Apache 项目安全信息页面列表。如果您在项目网站上找不到所需的信息,请在项目的users邮件列表中提问。请勿直接向安全联系人询问
如何安全地配置软件包
已发布的漏洞是否适用于您正在使用的 Apache 软件包的特定版本
已发布的漏洞是否适用于您正在使用的 Apache 软件包的配置
获取有关已发布漏洞的更多信息
解决已发布漏洞的补丁和/或新版本的可用性
相关项目的users列表是提出此类问题的地方。Apache 安全团队和任何项目安全团队都会忽略您直接发送给他们的任何此类问题。
漏洞处理流程概述如下:
报告者私下向 Apache 报告漏洞。
相应的项目安全团队私下与报告者合作解决漏洞。
项目创建受漏洞影响的软件包的新版本以提供修复。
项目公开宣布漏洞,并描述如何应用修复。
提交者应阅读有关该流程的更详细说明。安全漏洞报告者也可能发现它有用。
鼓励提交者和安全研究人员加入我们的社区讨论列表。