本策略基于 CISA 漏洞披露策略模板。
Keycloak 团队认为,世界各地的每个人都有权获得减轻安全和隐私风险所需的访问权限和高质量信息。我们努力保护用户、贡献者和合作伙伴社区免受数字安全威胁。我们相信,开放的漏洞管理方法是实现这一目标的最佳途径。
本策略支持我们的开放方法,旨在为安全研究人员提供明确的指南,以便向我们提交和协调已发现的漏洞。在遵守本策略的前提下,您授权 CNCF 与您合作,以快速了解和解决问题。有关我们流程的更多详细信息,请阅读安全章程。
违反这些指南可能会导致个人或供应商被添加到拒绝协调名单中。
本策略适用于所有 Keycloak 组件和项目。向项目披露的研究成果将仅限于响应团队成员;但是,我们将根据需要和要求协助与上游开源社区协调研究成果的披露。
可疑漏洞应负责任地披露,在分析和修复可用之后才能公开。我们将在 7 个工作日内确认收到您的报告,并与您合作确认漏洞的存在和影响。我们的目标是在评估和修复过程中保持公开对话。
根据漏洞的严重程度,问题可能会在当前 Keycloak 的 major.minor
版本中修复,或者对于较低严重程度的漏洞或加固,则在后续的 major.minor
版本中修复。请参阅 https://keycloak.java.net.cn/downloads 以查找最新版本。
如果您无法定期升级 Keycloak,我们建议您考虑 Red Hat 构建的 Keycloak,它为特定版本的 Keycloak 提供 长期支持。
要报告 Keycloak 代码库中的安全漏洞,请发送电子邮件至 keycloak-security@googlegroups.com。请针对 最新版本 的 Keycloak 进行测试,在您的报告中包含受影响的版本,提供关于如何使用 最小且可复现的示例 重现该问题的详细说明,并包含您的联系信息以便致谢。如果您要报告与 Keycloak 中使用的第三方库相关的已知 CVE,请创建一个新的 GitHub issue。
如果您想协作修复安全漏洞,请在电子邮件中包含您的 GitHub 用户名,我们将为您提供对临时私有分支的访问权限,以便我们协同工作。
如果您发现任何已公开披露的安全漏洞,请立即通过 keycloak-security@googlegroups.com 通知我们。
我们不接受来自自动化安全扫描器的报告。这些工具经常报告误报,并且分析这些报告需要很长时间,这可能会对项目维护者造成干扰。如果您认为您使用安全扫描器发现了安全漏洞,您有责任按照上述概述提供关于该漏洞的清晰示例以及如何专门针对 Keycloak 利用该漏洞的说明。