The English version of quarkus.io is the official project site. Translated sites are community supported on a best-effort basis.

Security

The Quarkus team and community take all security bugs very seriously. You can find our guidelines here regarding our policy and security disclosure.

Quarkus团队和社区非常重视所有的安全漏洞。你可以在这里找到关于我们的政策和安全披露的指导方针。

Do NOT report security vulnerabilities in our public bug tracker. Follow the instructions given in this page.

报告安全问题

请将您在Quarkus中发现的任何安全问题报告给:

security at quarkus.io

任何人都可以在这个列表上发帖。订阅者仅是来自Quarkus社区的受信任的个人,他们将在保密的情况下处理任何报告的安全问题的解决方案。请在你的报告中注明你希望因发现该问题而获得的荣誉,以及你希望实施的任何禁运措施的细节。目前,以下发行版的安全响应团队已经订阅了这个列表,并将对您的报告作出响应:

生态系统

Quarkus是一个由许多扩展和许多库组成的生态系统(如Eclipse Vert.x, Hibernate, Apache Camel等),其中大多数都不是由Quarkus团队直接负责的。如果您发现一个安全漏洞可能根植于这些库中的一个,您可以直接向他们披露,也可以向Quarkus团队披露(遵循此过程),我们将负责地向相应的扩展或库维护人员披露问题。

为什么要遵循这个过程

由于安全性缺陷的敏感性,披露过程比普通缺陷更受限制。我们感谢您遵循这些业界公认的指导方针,这些方针为适当的修复提供了时间,并限制了攻击的时间窗口。

受支持版本

社区将修复最新的major.minor版本安全漏洞,发布于 https://quarkus.io/get-started/。

Version Supported

Latest 3.x

3.2 LTS

Older 3.x

< 3.0

We may fix the vulnerability to older versions depending on the severity of the issue and the age of the release, but we are only committing to the versions mentioned above as supported.

处理安全问题

If you represent a Quarkus extension or a Quarkus platform, you are welcome to subscribe to the security at quarkus.io mailing list. Your subscription will only be approved if you can demonstrate that you will handle issues in confidence and properly credit reporters for discovering issues (e.g. experience with embargo process).