安全策略

本策略基于 CISA 漏洞披露策略模板。

简介

Keycloak 团队认为，世界各地的每个人都有权获得减轻安全和隐私风险所需的访问权限和高质量信息。我们努力保护用户、贡献者和合作伙伴社区免受数字安全威胁。我们相信，开放的漏洞管理方法是实现这一目标的最佳途径。

本策略支持我们的开放方法，旨在为安全研究人员提供明确的指南，以便向我们提交和协调已发现的漏洞。在遵守本策略的前提下，您授权 CNCF 与您合作，以快速了解和解决问题。有关我们流程的更多详细信息，请阅读安全章程。

指南

• 与任何 Keycloak 代表/个人分享的研究成果将报告给 Keycloak 安全响应团队并由其管理，以便得到官方保护和协调。
• 所有相关供应商对研究和所有 CVE 相关数据的访问和可见性将遵循最小权限原则。
• 在公开披露漏洞之前，确定并设定合理的时间来解决问题；尽可能就公开披露日期达成一致并进行协调。
• 公开披露应优先考虑保护公司、政府和个人数据的机密性以及公众安全的需求。
• 只要满足所有指南，所有供应商都将真诚地遵守披露/禁运请求。
• 不需要签署保密协议 (NDA)。
• 参与协同披露的供应商将保持积极参与。

违反这些指南可能会导致个人或供应商被添加到拒绝协调名单中。

范围

本策略适用于所有 Keycloak 组件和项目。向项目披露的研究成果将仅限于响应团队成员；但是，我们将根据需要和要求协助与上游开源社区协调研究成果的披露。

报告可疑漏洞

可疑漏洞应负责任地披露，在分析和修复可用之后才能公开。我们将在 7 个工作日内确认收到您的报告，并与您合作确认漏洞的存在和影响。我们的目标是在评估和修复过程中保持公开对话。

支持的版本

根据漏洞的严重程度，问题可能会在当前 Keycloak 的 major.minor 版本中修复，或者对于较低严重程度的漏洞或加固，则在后续的 major.minor 版本中修复。请参阅 https://keycloak.java.net.cn/downloads 以查找最新版本。

如果您无法定期升级 Keycloak，我们建议您考虑 Red Hat 构建的 Keycloak，它为特定版本的 Keycloak 提供 长期支持。

协同漏洞披露

要报告 Keycloak 代码库中的安全漏洞，请发送电子邮件至 keycloak-security@googlegroups.com。请针对 最新版本 的 Keycloak 进行测试，在您的报告中包含受影响的版本，提供关于如何使用 最小且可复现的示例 重现该问题的详细说明，并包含您的联系信息以便致谢。如果您要报告与 Keycloak 中使用的第三方库相关的已知 CVE，请创建一个新的 GitHub issue。

如果您想协作修复安全漏洞，请在电子邮件中包含您的 GitHub 用户名，我们将为您提供对临时私有分支的访问权限，以便我们协同工作。

如果您发现任何已公开披露的安全漏洞，请立即通过 keycloak-security@googlegroups.com 通知我们。

安全扫描器

我们不接受来自自动化安全扫描器的报告。这些工具经常报告误报，并且分析这些报告需要很长时间，这可能会对项目维护者造成干扰。如果您认为您使用安全扫描器发现了安全漏洞，您有责任按照上述概述提供关于该漏洞的清晰示例以及如何专门针对 Keycloak 利用该漏洞的说明。