ArkUI-X社区漏洞治理
漏洞是指系统设计、部署、运营和管理中,可被利用于违反系统安全策略的缺陷或弱点(RFC4949)。
ArkUI-X社区安全漏洞治理主张及理念
ArkUI-X社区非常重视社区版本的安全性,尽管业界共识安全漏洞是不可避免的,但ArkUI-X社区仍将秉承如下原则,积极的消减安全漏洞的潜在风险。
- 主动管理:采取措施减少产品和服务中的安全漏洞;
- 开放协同:与社区上下游通力合作,对发现的产品和服务中的安全漏洞,及时向客户提供风险消减方案;
ArkUI-X社区安全漏洞处理流程
ArkUI-X社区遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的安全漏洞处理流程,以确保社区安全漏洞得到及时响应和风险消减。
安全漏洞感知
ArkUI-X社区针对上游开源软件以及社区内原创开源软件,建立了多种安全漏洞感知和接收渠道,包括社区贡献者主动提交安全漏洞issue和通过安全响应工作组邮箱获取社区相关的安全漏洞等。
| 开源仓库类型 | 感知渠道 | 上报方式 | 详细介绍 |
|---|---|---|---|
| 上游开源软件 | 社区贡献者 | 安全漏洞issue | 识别上游开源软件安全漏洞并提交一个安全漏洞issue。 |
| 上游开源软件 | 安全漏洞扫描工具 | 安全漏洞issue | 每月对Release版本进行安全漏洞扫描,并提交安全漏洞issue。 |
| 原创开源软件 | 安全研究者 | 安全响应工作组邮箱scy@mail.arkui-x.cn | 收到上报邮件后,社区安全问题响应组会在社区内新建一个安全Issue。 |
安全漏洞issue: 你可以在发现问题的社区中创建问题issue,并标记成安全问题,创建问题的时候请选择“私有”issue。
验证&评估
对ArkUI-X社区感知到的疑似安全漏洞,社区安全响应工作组会组织maintainer对问题有效性进行验证。ArkUI-X社区采用业界普遍使用CVSS标准开展安全漏洞评估,基于安全漏洞的CVSS评分将安全漏洞分为4个严重等级。
| 严重等级(Severity Rating) | CVSS评分(Score) |
|---|---|
| 致命(Critical) | 9.0 - 10.0 |
| 高(High) | 7.0 - 8.9 |
| 中(Medium) | 4.0 - 6.9 |
| 低(Low) | 0.1 - 3.9 |
安全漏洞修复
对于每一个安全漏洞,修复责任人会与修复团队,发布经理进行协调,并负责向社区相关成员发送电子邮件。修复责任人会根据问题的严重性,开发需要的时间和发布经理反馈的版本计划,综合自己最佳的判断来制定问题的修复计划。
安全漏洞披露
ArkUI-X社区遵循负责任的披露原则,安全漏洞修复后发布安全公告。