安全漏洞披露
Apache 软件基金会(ASF)对其软件项目中的安全问题持严格立场。Apache Doris 也高度关注与产品特性和功能相关的安全问题。本文介绍如何按 ASF 官方流程,向 Doris 报告安全漏洞或潜在威胁。
报告渠道速查
| 项目 | 说明 |
|---|---|
| 收件人 | Apache 安全团队 |
| 邮箱地址 | security@apache.org |
| 项目名称 | 邮件中务必注明 Doris |
| 披露原则 | 邮件提交前不要在公开渠道披露该漏洞 |
报告步骤
- 撰写邮件:发送至 security@apache.org,主题与内容明确指出项目名称为
Doris。 - 描述问题:清晰说明漏洞或潜在威胁的影响范围、受影响版本、可能的攻击场景。
- 附复现步骤:推荐提供可重现该安全问题的最小化步骤、PoC 或日志片段。
- 等待回复:Apache 安全团队与 Doris 社区在评估和分析后会直接与你联系。
重要注意事项
- 请勿公开披露:在收到安全团队的回复并协调披露窗口前,不要在 GitHub Issue、邮件列表、Slack、社交媒体等任何公共渠道讨论该漏洞。
- 不要走普通反馈渠道:安全问题不应通过 问题反馈 中的 GitHub Issue 或 dev 邮件列表提交。
- 遵循负责任披露:完整流程参见 ASF 安全披露策略。
相关链接
- ASF 安全团队主页
- 问题反馈:非安全问题的反馈渠道。
- 加入社区:其他社区沟通渠道。
