OpenHarmony安全和披露说明

安全公告

您可以从OpenHarmony的安全公告和披露页面获取OpenHarmony产品安全公告和安全披露的信息。

上报漏洞

我们感谢所有向OpenHarmony开源社区上报安全漏洞的安全研究人员和用户。社区对您上报的安全漏洞进行全面彻底的调查。

1. 内部上报：

SIG内的bug被确认为安全漏洞，社区会将对应的Issue调整成“私有”，同时添加“安全问题”标签，并根据实际情况添加“优先级”标签。社区安全问题响应组会定期查看此类问题的更新情况。

2. 外部上报：

如果您知道一个安全漏洞，不在OpenHarmony社区已经处理的公开安全漏洞的列表之内，你可以按照以下方式处理：

邮件通知: 烦请立即发送电子邮件至scy@openharmony.io通知安全问题响应组，以便于社区可以启动补丁、发布和公告过程。我们强烈建议您使用公钥对邮件进行加密。 收到上报邮件后，社区安全问题响应组会在社区内新建一个安全Issue。

社区Issue: 你可以在发现问题的社区中创建问题Issue，并标记成安全问题，创建问题的时候请选择“私有”Issue。

如果有需要，安全问题响应组将询问您是否可以通过负责人的方式秘密披露此问题。如果您反对，我们将采用公开披露的方式。

我应该何时上报漏洞

• 您认为你在OpenHarmony中发现了潜在的安全漏洞
• 您不确定漏洞可能会怎样影响OpenHarmony
• 您在其他项目中发现了OpenHarmony依赖的漏洞，您可以附上已经上报给上游社区的链接

什么时候不应该上报漏洞

• 您想帮助提升OpenHarmony的安全能力
• 您需要得到安全相关的帮助
• 您的问题与安全性无关

安全漏洞响应

• OpenHarmony安全问题响应组会在3个工作日内确认并分析上报的安全问题，并同时启动安全处理流程。

• 安全问题响应组确认安全问题后会对问题进行分发和跟进。

• 在安全问题从分类、确定到修复和发布的权过程中，我们会通过邮件及时更新报告。

公开披露时间

• 公开披露的日期由OpenHarmony安全问题响应组和安全问题提交者协商确定。对于安全问题，一旦有用户缓解或规避措施，我们就会尽快将漏洞完全披露出来。
• 在尚未完全理解和修改安全问题、解决方案未经过充分测试、或者未完成和发行商的协调时，延迟披露是不可避免的，也是合理的。
• 我们通常在每月第一个完整周的周二发布漏洞公告。
• OpenHarmony安全问题响应组对设定的披露日期有最终决定权。