安全策略

本策略基于 CISA 漏洞披露策略模板

简介

Keycloak 团队认为，每个人都应该获得减轻安全和隐私风险所需的信息。我们努力保护用户、贡献者和合作伙伴社区免受数字安全威胁。我们认为 漏洞管理的开放式方法 是实现这一目标的最佳方式。

本策略支持我们的开放式方法，旨在为安全研究人员提供明确的指南，以便将他们发现的漏洞提交给我们并与我们协调。遵守本策略即意味着您授权 CNCF 与您合作，以快速了解和解决问题。有关我们流程的更多详细信息，请阅读 安全章程。

指南

• 与任何 Keycloak 代表/个人共享的研究将报告给 Keycloak 安全响应团队并由其管理，以获得正式保护和协调。
• 所有参与供应商对研究和所有 CVE 相关数据的访问权限和可见性将遵循最小权限原则。
• 在公开披露漏洞之前，应设定合理的时间来解决问题；在可能的情况下，商定和协调公开披露日期。
• 公开披露应优先考虑保护公司、政府和个人数据的机密性以及公众安全。
• 只要满足所有指南，所有供应商都将真诚地遵守披露/禁运请求。
• 不需要签署 NDA。
• 参与协调披露的供应商将保持积极参与。

违反这些指南可能会导致个人或供应商被添加到拒绝协调列表中。

范围

本策略适用于所有 Keycloak 组件和项目。向项目披露的研究将仅限于响应团队成员；但是，我们将协助协调与上游开源社区的研究披露，具体取决于需要和请求。

报告疑似漏洞

应负责任地披露疑似漏洞，并在分析并提供修复程序之前不要公开。我们将在 7 个工作日内确认您的报告，并与您合作确认漏洞的存在和影响。我们的目标是在评估和修复过程中保持公开对话。

受支持的版本

根据漏洞的严重性，问题可能在 Keycloak 的当前 major.minor 版本中修复，或对于较低严重性的漏洞或加固，则在接下来的 major.minor 版本中修复。请参阅 https://keycloak.java.net.cn/downloads 以查找最新版本。

如果您无法定期升级 Keycloak，我们建议您考虑使用 Red Hat 版 Keycloak，它提供 长期支持 特定版本的 Keycloak。

协调漏洞披露

要报告 Keycloak 代码库中的安全漏洞，请发送电子邮件至 keycloak-security@googlegroups.com。请针对 Keycloak 的最新版本进行测试，在您的报告中包含受影响的版本，提供详细说明，说明如何使用 最小且可重复的示例 重现问题，并包含您的联系信息以供致谢。如果您要报告与 Keycloak 中使用的第三方库相关的已知 CVE，请 创建一个新的 GitHub 问题。

如果您想协作修复安全漏洞，请在电子邮件中包含您的 GitHub 用户名，我们将为您提供一个临时私有分支的访问权限，我们可以在其中一起合作。

如果您发现任何公开披露的安全漏洞，请立即通过 keycloak-security@googlegroups.com 通知我们。

安全扫描程序

不接受来自自动化安全扫描程序的报告。这些工具通常会报告误报，并且会对项目维护人员造成干扰，因为分析这些报告需要很长时间。如果您认为使用安全扫描程序发现了安全漏洞，则您有责任提供漏洞的清晰示例以及如何专门针对 Keycloak 利用漏洞，如上所述。