▶ 安全问题上报&披露机制


1 如何向EdgeGallery社区上报安全问题 如果您发现了疑似安全问题,请您使用疑似安全问题上报模板进行反馈,以便社区漏洞管理团队在能够获得足够详细信息的条件下,尽快确认并修复问题。您的邮件将在1个工作日内得到确认,在7天内对您反馈的疑似安全问题提供更详细的回复,并给出下一步的处理策略。 鉴于安全问题的敏感性,请使用PGP公钥加密后发送 安全邮箱:security@edgegallery.org  PGP公钥:

——————————BEGIN PGP PUBLIC KEY BLOCK——————————

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=p+CN


——————————END PGP PUBLIC KEY BLOCK——————————-

表:疑似安全问题上报模板

内容 相关信息
上报人  
联系方式  
组织信息 个人/团队/公司
版本信息  
问题级别 致命问题/严重问题/一般问题
问题描述  
发生场景 操作系统等平台信息,业务场景信息等
影响范围  
详细信息 如果是已知公开漏洞,请提供CVE编号;如果是未公开问题,请提供攻击方法,攻击结果,并附上相关代码和日志说明等必要信息。
修复建议  

2 安全问题披露流程

收到问题后,我们将会按照如下流程处理安全问题:
收到疑似安全问题后,社区安全工作组立即确认上报信息完整性和问题严重性;
组织社区团队开展技术分析,确认问题细节,并给出分析报告;
确认漏洞并申请CVE,与漏洞上报者开展问题沟通,对齐后续修复&发布计划,准备安全公告(SA);
完成漏洞补丁开发/验证,启动受限披露;
公开发布补丁和安全公告(SA)。

▶ 社区安全管理团队


安全管理团队由社区内的安全管理专家,在社区成立安全工作组。EdgeGallery安全工作组致力于通过架构、文档、代码审查和漏洞管理来改进EdgeGallery安全。
EdgeGallery安全工作组的总体目标是确保EdgeGallery平台和通过它贡献的MEC应用程序的安全可靠运行,重点包括:
边缘平台的安全
项目贡献扫描作为项目基础设施的一部分
平台部署时的安全性
对MEC应用程序的安全认证
漏洞管理

其中,漏洞管理部分的主要职责是协同漏洞从接收到披露的整改过程
漏洞收集:社区成员和外部研究者发现的疑似安全漏洞,都可以通过Jira或者安全邮件上报给社区安全工作组;
漏洞跟踪处置:安全工作组会将确认的漏洞录入EdgeGallery社区,并负责漏洞的确认/修复,期间会与上报者保持有效沟通;
负责任的披露:漏洞得到妥善的修复后,安全工作组将会以SA的形式将漏洞信息发布到社区。

社区安全公告&说明


1 社区安全公告(SA)

2 社区安全说明(SN)