本策略基于 CISA 漏洞披露策略模板
Keycloak 团队认为,每个人都应该获得减轻安全和隐私风险所需的信息。我们努力保护用户、贡献者和合作伙伴社区免受数字安全威胁。我们认为 漏洞管理的开放式方法 是实现这一目标的最佳方式。
本策略支持我们的开放式方法,旨在为安全研究人员提供明确的指南,以便将他们发现的漏洞提交给我们并与我们协调。遵守本策略即意味着您授权 CNCF 与您合作,以快速了解和解决问题。有关我们流程的更多详细信息,请阅读 安全章程。
违反这些指南可能会导致个人或供应商被添加到拒绝协调列表中。
本策略适用于所有 Keycloak 组件和项目。向项目披露的研究将仅限于响应团队成员;但是,我们将协助协调与上游开源社区的研究披露,具体取决于需要和请求。
应负责任地披露疑似漏洞,并在分析并提供修复程序之前不要公开。我们将在 7 个工作日内确认您的报告,并与您合作确认漏洞的存在和影响。我们的目标是在评估和修复过程中保持公开对话。
根据漏洞的严重性,问题可能在 Keycloak 的当前 major.minor 版本中修复,或对于较低严重性的漏洞或加固,则在接下来的 major.minor 版本中修复。请参阅 http://keycloak.java.net.cn/downloads 以查找最新版本。
如果您无法定期升级 Keycloak,我们建议您考虑使用 Red Hat 版 Keycloak,它提供 长期支持 特定版本的 Keycloak。
要报告 Keycloak 代码库中的安全漏洞,请发送电子邮件至 [email protected]。请针对 Keycloak 的最新版本进行测试,在您的报告中包含受影响的版本,提供详细说明,说明如何使用 最小且可重复的示例 重现问题,并包含您的联系信息以供致谢。如果您要报告与 Keycloak 中使用的第三方库相关的已知 CVE,请 创建一个新的 GitHub 问题。
如果您想协作修复安全漏洞,请在电子邮件中包含您的 GitHub 用户名,我们将为您提供一个临时私有分支的访问权限,我们可以在其中一起合作。
如果您发现任何公开披露的安全漏洞,请立即通过 [email protected] 通知我们。
不接受来自自动化安全扫描程序的报告。这些工具通常会报告误报,并且会对项目维护人员造成干扰,因为分析这些报告需要很长时间。如果您认为使用安全扫描程序发现了安全漏洞,则您有责任提供漏洞的清晰示例以及如何专门针对 Keycloak 利用漏洞,如上所述。