安全问题

ob娱乐下载Symfony 5.3支持通过乔利科

安全问题

本文档解释了Symfony核心团队是如何处理Symfoob娱乐下载ny安全问题的(Symfony是托管在主服务器上的代码ob娱乐下载symfony / symfonyGit存储库).

报告安全问题

如果您认为在Symfony中发现了安全问题,请不要使用bug跟踪器,也不要将其公开发布。相反,所有安全问题ob娱乐下载都必须发送到安全[在]symfony.cob娱乐下载om.发送到此地址的电子邮件将被转发到Symfony核心团队的私人邮件列表。ob娱乐下载

解决的过程

对于每个报告,我们首先尝试确认漏洞。当确定后,核心团队按照以下步骤进行解决:

  1. 给记者发一封感谢信;
  2. 在补丁上工作;
  3. 获取CVE标识符mitre.org
  4. 为官方Symfony编写安全声明ob娱乐下载博客关于漏洞。此帖子应包含以下信息:
    • 始终包含“安全释放”字符串的标题;
    • 对漏洞的描述;
    • 受影响的版本;
    • 可能的利用;
    • 如何修补/升级/解决受影响的应用程序;
    • CVE标识符;
    • 学分。
  5. 将补丁和公告发送给记者进行审查;
  6. 将修补程序应用于所有维护的Symfony版本;ob娱乐下载
  7. 为所有受影响的版本打包新版本;
  8. 在官方网站上发表这篇文章ob娱乐下载博客(它也必须添加到“安全警告“类别);
  9. 更新公众安全报告数据库由FriendsOfPHP组织维护,由检查:安全命令

请注意

包含安全问题的版本不应在周六或周日发布,除非该漏洞已公开发布。

请注意

当我们正在开发补丁时,请不要公开该问题。

请注意

根据其复杂性以及与下游项目的协调情况,解决方案需要几天到一个月的时间。

与下游开源项目合作

由于Sob娱乐下载ymfony被许多大型开源项目所使用,我们将Symfony安全团队与下游项目在安全问题上的协作方式标准化。过程如下:

  1. 在Symfony安全ob娱乐下载团队确认了一个安全问题后,它立即向下游项目安全团队发送一封电子邮件,告知他们这个问题;
  2. Symfob娱乐下载ony安全团队创建了一个私有的Git存储库,以简化问题上的协作,并将此存储库的访问权限授予Symfony安全团队、受问题影响的Symfony贡献者以及每个下游项目的一位代表;
  3. 所有有权访问私有存储库的人都会通过请求、代码审查和评论来制定解决方案;
  4. 一旦找到修复,所有涉及的项目都会协作,以找到联合发布的最佳日期(不能保证所有发布都会在同一时间发布,但我们会尽力在大约同一时间发布)。如果不知道该问题是否在野外被利用,两周的时间被认为是合理的。

参与该过程的下游项目清单尽可能小,以便在披露前更好地管理机密信息流。因此,项目由Symfony安全团队自行决定是否包括在内。ob娱乐下载

截至目前,以下项目已经验证了这一过程,并且是该过程中包括的下游项目的一部分:

  • Drupal(通常在周三发布)
  • eZPublish

问题严重性

为了确定安全问题的严重性,我们考虑了任何潜在攻击的复杂性、漏洞的影响以及它可能影响的项目数量。15分的分数会被转换成一个等级:低、中、高、关键或特殊。

攻击的复杂性

分数在1到5之间,取决于利用漏洞的复杂程度

  • 基本:攻击者必须遵循一套简单的步骤
  • 2-3复杂:攻击者必须遵循非直观的步骤,并具有高度的依赖性
  • 1-2高:成功的攻击取决于攻击者无法控制的情况。也就是说,成功的攻击不能随意完成,但需要攻击者投入一定的精力来准备或执行易受攻击的组件,然后才能预期成功的攻击。

影响

从下列领域的分数相加产生一个分数。Impact的得分上限为6。每个区域的得分在0到4之间。

  • 完整性:此漏洞是否导致非公共数据可访问?如果是,攻击者是否可以控制公开的数据?(0 - 4)
  • 泄露:此漏洞是否允许系统数据(或系统处理的数据)被泄露?如果是,攻击者是否可以控制修改?(0 - 4)
  • 代码执行:该漏洞是否允许在最终用户系统或其运行的服务器上执行任意代码?(0-4)
  • 可用性:服务或应用程序的可用性是否受到影响?服务/应用程序的可用性是否降低或完全丧失?可用性包括网络服务(如数据库)或资源,如网络带宽、处理器周期或磁盘空间的消耗。(0-4)

受影响的项目

从下列领域的分数相加产生一个分数。受影响项目的得分不超过4分。

  • 它会影响部分或全部使用组件吗?(1-2)
  • 使用会导致这种情况的组件是否已经被认为是不好的实践?(0 - 1)
  • 组件有多常见/流行(例如控制台vs HttpFoundation vs Lock)?(0 - 2)
  • 许多使用Symfony的知名开源项目是否受到需要协调发布的影响?ob娱乐下载(0 - 1)

得分总数

  • 攻击复杂度:1 - 5
  • 影响:1 - 6
  • 受影响的项目:1 - 4

严重级别

  • 低:1-5
  • 中:6 - 10
  • 高:11 - 12
  • 紧急情况:13-14
  • 例外:15

安全警告

提示

您可以使用以下方法检查Symfony应ob娱乐下载用程序是否存在已知的安全漏洞:检查:安全命令

检查安全警告从Symfony 1.0.0开始的Symfony版本中修复的所有安全漏洞的列表。ob娱乐下载

这项工作,包括代码样本,是根据知识共享BY-SA 3.0许可证。