The English version of quarkus.io is the official project site. Translated sites are community supported on a best-effort basis.

安全

Quarkus团队和社区非常重视所有的安全漏洞。你可以在这里找到关于我们的政策和安全披露的指导方针。

Quarkus团队和社区非常重视所有的安全漏洞。你可以在这里找到关于我们的政策和安全披露的指导方针。

报告安全问题

请将您在Quarkus中发现的任何安全问题报告给:

quarkus.io 安全

任何人都可以在这个列表上发帖。订阅者仅是来自Quarkus社区的受信任的个人,他们将在保密的情况下处理任何报告的安全问题的解决方案。请在你的报告中注明你希望因发现该问题而获得的荣誉,以及你希望实施的任何禁运措施的细节。目前,以下发行版的安全响应团队已经订阅了这个列表,并将对您的报告作出响应:

生态系统

Quarkus是一个由许多扩展和许多库组成的生态系统(如Eclipse Vert.x, Hibernate, Apache Camel等),其中大多数都不是由Quarkus团队直接负责的。如果您发现一个安全漏洞可能根植于这些库中的一个,您可以直接向他们披露,也可以向Quarkus团队披露(遵循此过程),我们将负责地向相应的扩展或库维护人员披露问题。

为什么要遵循这个过程

由于安全性缺陷的敏感性,披露过程比普通缺陷更受限制。我们感谢您遵循这些业界公认的指导方针,这些方针为适当的修复提供了时间,并限制了攻击的时间窗口。

受支持版本

社区将修复最新的major.minor版本安全漏洞,发布于 https://quarkus.io/get-started/。

Version      Supported
latest 2.x    ✅
older 2.x    ❌
< 2.0           ❌

根据问题的严重程度和发布的时间,我们可能会修复旧版本的漏洞,但我们只承诺发布的最新版本。

处理安全问题

如果您代表一个Quarkus扩展或Quarkus平台,欢迎您订阅quarkus.io的安全性邮件列表。只有当你能证明你会保密地处理问题,并正确地信任问题发现者时,你的订阅才会被批准(例如,禁运流程的经验)。