openEuler安全和披露说明

安全公告

您可以从openEuler的安全公告和披露页面获取openEuler产品安全公告和安全披露的电子邮件。

上报漏洞

我们感谢所有向openEuler开源社区上报安全漏洞的安全研究人员和用户。安全委员会内会有社区志愿者对您上报的安全漏洞进行全面彻底的调查。

您可以通过电子邮件将您发现的安全问题的详细信息以及错误报告发送到私有的openeuler-security@openeuler.org邮箱列表。请你采用安全问题模板。

您可以使用openEuler安全委员会成员的PGP公钥将电子邮件加密到此列表。

我应该合适上报漏洞

• 您认为你在openEuler中发现了潜在的安全漏洞
• 您不确定漏洞可能会怎样影响openEuler
• 您在其他项目中发现了openEuler依赖的漏洞，您可以附上已经上报给上游社区的链接

什么时候不应该上报漏洞

• 您想帮助提升openEuler的安全能力
• 您需要得到安全相关的帮助
• 您的问题与安全性无关

安全漏洞响应

• openEuler安全委员会成员会在3个工作日内确认并分析上报的安全问题，并同时启动安全处理流程。

• 安全委员会确认安全问题后会对问题进行分发和跟进

• 在安全问题从分类、确定到修复和发布的权过程中，我们会通过邮件及时更新报告

公开披露时间

• 公开披露的日期由openEuler安全委员会和错误提交者协商确定。对于安全问题，一旦有用户缓解或规避措施，我们就会尽快将漏洞完全披露出来。
• 在尚未完全理解和修改错误、解决方案未经过充分测试、或者未完成和发行商的协调时，延迟披露是不可避免的，也是合理的。
• 在公开披露前，对部分问题我们会先向发行商披露，并在不影响发行商利益的前提下，尽量协同多个发行商间的发布时间。
• 披露的时间从确认安全问题起，大概需要几周。对于具有明确的缓解或规避措施的漏洞，我们会尽量缩短披露时间在两周以内。
• openEuler安全委员会对设定的披露日期有最终决定权。