Обзор⚓︎
Если вы обнаружите возможную проблему безопасности, связанную с Grav или одним из его расширений, отправьте электронное письмо основной команде по адресу contact@getgrav.org, и мы решим её, как только возможно.
Проблемы не должны разглашаться публично, в том числе на GitHub, Discord или форуме Discourse, до тех пор, пока основная команда не получит возможность изучить их и связаться с соответствующими сторонами для решения. Кроме того, если проблема не является потенциальной угрозой для пользователей Grav, ее, вероятно, следует отправить как проблему вместо этого. Если вы не уверены, свяжитесь с нами, и мы поможем вам выяснить, кому принадлежит отчёт.
Отправка отчёта⚓︎
Когда вы обнаружили потенциальную уязвимость в ядре Grav или в одном из его расширений, рекомендуется проявить должную осмотрительность и сообщить об этом:
- Укажите номера версий Grav и всех установленных расширений, а также к какому компоненту относится проблема.
- Опишите уязвимость подробно и кратко, чтобы меньше времени тратилось на поиск её источника.
- Запишите точные шаги, необходимые для воспроизведения среды, в которой возникает уязвимость: какие настройки установлены в
system.yaml
, какой контент создается и какие системные настройки применяются? - Если возможно, опишите источник уязвимости и способы ее исправления, чтобы разработчики могли как восстановить, так и защитить ее.
Ответственное раскрытие информации⚓︎
Grav следует модели responsible disclosure для представления обнаруженных уязвимостей. Это означает, что как только проблема обнаружена, протестирована и успешно продемонстрирована, разработчику(разработчикам) должен быть предоставлен период времени для исправления уязвимости, прежде чем она будет публично раскрыта. Это связано с тем, что поиск и тестирование решений заявленных проблем требуют много времени и времени, а Grav — это проект с открытым исходным кодом, авторы которого не имеют неограниченного времени, чтобы посвятить ему. Поэтому рекомендуется также предложить, как решить проблему или исправить ее, если у вас есть знания соответствующего кода.
Процесс разрешения проблемы⚓︎
Отчёты и проблемы остаются конфиденциальными, пока проблема не будет решена. В случае, если сопровождающий расширения не может своевременно решить проблему, расширение удаляется из метода Grav Package Manner до тех пор, пока она не будет решена.
Поддерживаемые версии⚓︎
Поддерживается только текущая версия Grav major.minor
. Это означает, что патчи реализованы в major.minor.patch
, но не регрессивно назад для более старых версий Grav. Важно поддерживать установку в актуальном состоянии, и многие изменения полезны, даже если они явно не нужны с точки зрения безопасности.
Уровни риска⚓︎
Есть пять уровней риска, связанных с Grav как программным обеспечением:
- Очень критично
- критический
- Умеренно критично
- Менее критичный
- Не критично
Они рассчитываются на основе «Общей системы оценки неправильного использования» (CMSS) Национального института стандартов и технологий (NIST). Из-за отсутствия легко доступного калькулятора для Grav используйте RiskCalc Drupal (примечания).