Перейти к содержанию

Обзор⚓︎

Если вы обнаружите возможную проблему безопасности, связанную с Grav или одним из его расширений, отправьте электронное письмо основной команде по адресу contact@getgrav.org, и мы решим её, как только возможно.

Проблемы не должны разглашаться публично, в том числе на GitHub, Discord или форуме Discourse, до тех пор, пока основная команда не получит возможность изучить их и связаться с соответствующими сторонами для решения. Кроме того, если проблема не является потенциальной угрозой для пользователей Grav, ее, вероятно, следует отправить как проблему вместо этого. Если вы не уверены, свяжитесь с нами, и мы поможем вам выяснить, кому принадлежит отчёт.

Отправка отчёта⚓︎

Когда вы обнаружили потенциальную уязвимость в ядре Grav или в одном из его расширений, рекомендуется проявить должную осмотрительность и сообщить об этом:

  1. Укажите номера версий Grav и всех установленных расширений, а также к какому компоненту относится проблема.
  2. Опишите уязвимость подробно и кратко, чтобы меньше времени тратилось на поиск её источника.
  3. Запишите точные шаги, необходимые для воспроизведения среды, в которой возникает уязвимость: какие настройки установлены в system.yaml, какой контент создается и какие системные настройки применяются?
  4. Если возможно, опишите источник уязвимости и способы ее исправления, чтобы разработчики могли как восстановить, так и защитить ее.

Ответственное раскрытие информации⚓︎

Grav следует модели responsible disclosure для представления обнаруженных уязвимостей. Это означает, что как только проблема обнаружена, протестирована и успешно продемонстрирована, разработчику(разработчикам) должен быть предоставлен период времени для исправления уязвимости, прежде чем она будет публично раскрыта. Это связано с тем, что поиск и тестирование решений заявленных проблем требуют много времени и времени, а Grav — это проект с открытым исходным кодом, авторы которого не имеют неограниченного времени, чтобы посвятить ему. Поэтому рекомендуется также предложить, как решить проблему или исправить ее, если у вас есть знания соответствующего кода.

Процесс разрешения проблемы⚓︎

Отчёты и проблемы остаются конфиденциальными, пока проблема не будет решена. В случае, если сопровождающий расширения не может своевременно решить проблему, расширение удаляется из метода Grav Package Manner до тех пор, пока она не будет решена.

Поддерживаемые версии⚓︎

Поддерживается только текущая версия Grav major.minor. Это означает, что патчи реализованы в major.minor.patch, но не регрессивно назад для более старых версий Grav. Важно поддерживать установку в актуальном состоянии, и многие изменения полезны, даже если они явно не нужны с точки зрения безопасности.

Уровни риска⚓︎

Есть пять уровней риска, связанных с Grav как программным обеспечением:

  • Очень критично
  • критический
  • Умеренно критично
  • Менее критичный
  • Не критично

Они рассчитываются на основе «Общей системы оценки неправильного использования» (CMSS) Национального института стандартов и технологий (NIST). Из-за отсутствия легко доступного калькулятора для Grav используйте RiskCalc Drupal (примечания).