本政策基於 CISA 漏洞揭露政策範本
Keycloak 團隊相信,每個人都應享有取得所需資訊的權利,並具備足夠的品質,以降低安全性和隱私風險。我們致力於保護使用者、貢獻者和合作夥伴的社群,使其免受數位安全威脅。我們認為,開放式的漏洞管理方法是實現此目標的最佳途徑。
本政策支持我們的開放方法,旨在為安全研究人員提供明確的指南,以便向我們提交並協調所發現的漏洞。在遵守本政策時,您授權 CNCF 與您合作,以快速理解並解決問題。如需瞭解我們流程的更多詳細資訊,請閱讀安全章程。
違反這些指南可能會導致個人或供應商被加入拒絕協調清單。
本政策適用於所有 Keycloak 元件和專案。向專案揭露的研究將僅限於回應團隊成員;但是,我們將根據需要和要求協助協調與上游開放原始碼社群的研究揭露。
可疑漏洞應以負責任的方式揭露,在分析和修復程式可用之前,不應公開。我們將在 7 個工作日內確認您的回報,並與您合作確認漏洞的存在和影響。我們的目標是在評估和補救過程中保持公開對話。
根據漏洞的嚴重程度,問題可能會在 Keycloak 目前的 major.minor 版本中修復,或者對於較低嚴重程度的漏洞或強化,則在下一個 major.minor 版本中修復。請參閱 https://keycloak.dev.org.tw/downloads 以尋找最新版本。
如果您無法定期升級 Keycloak,我們建議您考慮 Red Hat build of Keycloak,它為特定版本的 Keycloak 提供 長期支援。
若要回報 Keycloak 程式碼庫中的安全漏洞,請發送電子郵件至 keycloak-security@googlegroups.com。請針對 Keycloak 的最新版本進行測試,在您的回報中包含受影響的版本,提供關於如何使用最小且可重現的範例重現問題的詳細說明,並包含您的聯絡資訊以便確認。如果您回報與 Keycloak 中使用的第三方函式庫相關的已知 CVE,請建立新的 GitHub 問題。
如果您想合作修復安全漏洞,請在電子郵件中包含您的 GitHub 使用者名稱,我們將提供您存取臨時私人 Fork 的權限,以便我們共同合作。
如果您發現任何公開揭露的安全漏洞,請立即透過 keycloak-security@googlegroups.com 通知我們。
我們不接受自動安全性掃描器的報告。這些工具經常報告誤判,並且可能對專案維護者造成干擾,因為分析這些報告需要很長的時間。如果您認為您使用安全性掃描器發現了安全漏洞,您有責任提供關於漏洞的清晰範例,以及如何針對上述 Keycloak 具體利用該漏洞的說明。