红帽协调的漏洞披露

简介

红帽产品安全团队相信每个人，无论身在何处，都有权获得减轻安全和隐私风险所需的开放访问和高质量信息。我们努力保护客户、贡献者和合作伙伴的社区免受数字安全威胁。我们认为一种 开放的漏洞管理方法 是实现此目的的最佳方法。我们遵循漏洞和 事件响应计划，后者定义了常见的漏洞和暴露(CVE)是如何识别、补救和披露的。

此策略支持我们的开放式方法，旨在为安全研究人员提供明确的指导方针，以便与我们一起提交和协调发现的漏洞。为了遵守此策略，您授权红帽与您一起合作，来了解并快速解决问题。

协调指导方针

此列表中的项目是我们努力遵循的促进成功协调的行业最佳实践。与 CVE 计划协调相关的信息；包括可在我们的 CVE 计划指南 中找到的最后手段活动的 Root 和 CNA 。

• 漏洞报告者和红帽应在漏洞公开披露之前就解决问题的合理时间达成一致。此初始协调有助于保护客户和个人数据的机密性以及公众的安全。
• 积极沟通和参与有助于确保满足披露期望并保持优先顺序。
• 进行多供应商协调的决策必须包含报告者，并将使用 VINCE 平台。
• 对研究和所有 CVE 相关数据的访问和可见性应遵循涉及的任何人有最低特权的原则。
• (Red Hat CNA)不需要签署保密协议(NDA)。
• (Red Hat CNA) CNA 范围内的所有漏洞都将分配一个 CVE。

范围

此策略适用于所有红帽产品和服务，以及组成这些产品和服务的组件。向红帽披露的研究成果将仅限于红帽同事；但是，我们会根据需要和要求，协助协调与上游开源社区进行研究成果的披露。红帽不参与或赞助 bug 赏金计划。

预期的响应

初始联系人和披露

可以通过 secalert@redhat.com 联系红帽产品安全团队。红帽产品安全团队使用 OpenPGP 密钥保护电子邮件通信。发送至 secalert@redhat.com 的邮件可以是加密的。我们的 PGP 公钥列在我们的主要 联系人页面 上。发送给 secalert@redhat.com 的电子邮件会在一个工作日内阅读并确认，我们将与您一起确认漏洞的存在和影响。

如果知道的话，发现者应在其报告中包含以下信息：

• 受影响的组件和产品的版本号。
• 发现问题的环境和相应的产品版本，例如，操作系统的名称、版本、架构或容器平台。
• 如果可以重现，重现的步骤。
• 攻击者利用系统上漏洞的方式。
• 如果攻击者利用漏洞，如拒绝服务、特权升级或远程代码执行等的直接影响。

对协调和公开发布有什么期待

在初始披露后，红帽将对红帽组件和软件的任何潜在影响进行分类和评估。我们将确定严重性等级，并酌情协调下一步行动。如果漏洞不在禁运范围内，所有信息和初始分数都会在红帽的 CVE 页面上立即发布。将继续与我们的工程师、报告人和上游进行协调，以找到缓解漏洞的方法，同时我们将共同准备和计划补救修复。

我们尊重对保密性的任何请求；但是，我们默认将正确地将研究结果归因于研究人员。我们不需要 NDA 。但是，机密和禁运报告被视为 TLP：Red ，直到双方对公开日期达成一致。红帽倾向于在 30 天内披露禁运信息；但是，我们会尽力确保公开日期切合实际。我们的目标是在评估和补救过程中保持开放的对话。

无论修复状态如何，所有漏洞都会在公开且被红帽知晓时被立即披露。