安全问题

编辑本页

安全问题

本文档解释了Symfony核心团队是如何处理Symfoob娱乐下载ny安全问题的(Symfony是主机上托管的代码)ob娱乐下载symfony / symfonyGit存储库).

报告安全问题

如果您认为在Symfony中发现了安全问题,请不要使用错误跟踪器,也不要公开发布它。ob娱乐下载相反,所有安全问题都必须发送到www.pdashmedia.com的安全ob娱乐下载.发送到此地址的电子邮件将被转发到Symfony核心团队的私人邮件列表。ob娱乐下载

以下问题不被视为安全问题,应按常规错误修复处理(如果您有任何疑问,请立即向我们发送电子邮件进行确认):

  • 在调试工具中发现的任何安全问题都不能在生产环境中启用(包括web分析器或任何在生产环境中启用的工具)APP_DEBUG设置为真正的APP_ENV设置为任何东西刺激);
  • 任何可以被归类为安全性加强例如路由枚举、登录节流旁路、拒绝服务攻击、定时攻击或缺乏SensitiveParameter属性。

在任何情况下,核心团队对哪些问题被视为安全漏洞拥有最终决定权。

安全漏洞奖励

ob娱乐下载Symfony是一个开源项目,其中大部分工作是由志愿者完成的。我们感谢开发人员正在努力发现Symfony中的安全问题并负责任地报告他们,但我们目前无法支付漏洞奖金。ob娱乐下载

解决的过程

对于每个报告,我们首先尝试确认漏洞。确认后,核心团队按照以下步骤制定解决方案:

  1. 给记者发一封感谢信;
  2. 在补丁上工作;
  3. 获取CVE标识符mitre.org
  4. 为官方Symfony编写安全公告ob娱乐下载博客关于漏洞。这篇文章应包含以下信息:

    • 标题总是包含“安全发布”字符串;
    • 漏洞描述;
    • 受影响的版本;
    • 可能的利用;
    • 如何修补/升级/解决受影响的应用程序;
    • CVE标识符;
    • 学分。
  5. 将补丁和公告发送给记者审核;
  6. 将补丁应用到Symfony的所有维护版本;ob娱乐下载
  7. 为所有受影响的版本打包新版本;
  8. 在Symfony官方发布这篇文章ob娱乐下载博客(它也必须添加到“安全建议_”类别中);
  9. 更新公众信息安全通告数据库由FriendsOfPHP组织维护,由check:security命令

请注意

包含安全问题的发布不应在周六或周日进行,除非该漏洞已公开发布。

请注意

当我们正在做补丁的时候,请不要公开这个问题。

请注意

解决方案需要几天到一个月的时间,这取决于它的复杂性和与下游项目的协调(见下一段)。

与下游开源项目合作

由于Sob娱乐下载ymfony被许多大型开源项目所使用,我们标准化了Symfony安全团队与下游项目在安全问题上的协作方式。具体流程如下:

  1. 在Symfony安全ob娱乐下载团队确认安全问题后,它立即向下游项目安全团队发送电子邮件,告知他们该问题;
  2. Symfob娱乐下载ony安全团队创建了一个私有Git存储库,以简化问题上的协作,并将此存储库的访问权授予Symfony安全团队、受问题影响的Symfony贡献者以及每个下游项目的代表;
  3. 所有能够访问私有存储库的人都致力于通过拉请求、代码审查和注释来解决问题;
  4. 一旦找到修复,所有涉及的项目合作寻找联合发布的最佳日期(不能保证所有发布将在同一时间,但我们将努力使他们在同一时间)。当该问题不知道在野外被利用时,两周的时间被认为是合理的时间。

参与这一过程的下游项目列表保持尽可能小,以便在披露之前更好地管理机密信息的流动。因此,Symfony安全团队可以自行决定是否包含项目。ob娱乐下载

到目前为止,以下项目已经验证了该流程,并且是该流程中包含的下游项目的一部分:

  • Drupal(通常在周三发布)
  • eZPublish

问题严重程度

为了确定安全问题的严重程度,我们会考虑任何潜在攻击的复杂性、漏洞的影响以及可能影响的项目数量。15分中的这个分数将转换为以下级别:低、中、高、严重或异常。

攻击的复杂性

得分在1到5之间,这取决于利用漏洞的复杂程度

  • 4 - 5 Basic:攻击者必须遵循一组简单的步骤
  • 2 - 3复杂:攻击者必须遵循非直观的步骤,具有高度的依赖关系
  • 1 - 2高:成功的攻击依赖于攻击者无法控制的条件。也就是说,成功的攻击不能随意完成,而是要求攻击者在准备或执行易受攻击的组件时投入一些可衡量的努力,然后才能预期成功的攻击。

影响

将下列各方面的分数加在一起生成一个分数。Impact的得分上限为6分。每个区域的得分在0到4之间。

  • 完整性:此漏洞是否会导致非公开数据可访问?如果是,攻击者是否控制所披露的数据?(0 - 4)
  • 披露:此漏洞会导致系统数据(或系统处理的数据)被泄露吗?如果是,攻击者是否可以控制修改?(0 - 4)
  • 代码执行:该漏洞是否允许在终端用户系统或运行该系统的服务器上执行任意代码?(0 - 4)
  • 可用性:服务或应用程序的可用性是否受到影响?是降低了服务/应用程序的可用性还是完全失去了可用性?可用性包括网络服务(如数据库)或资源,如网络带宽、处理器周期或磁盘空间的消耗。(0 - 4)

受影响的项目

将下列各方面的分数加在一起生成一个分数。受影响项目的得分上限为4分。

  • 它会影响部分或全部使用组件吗?(1 - 2)
  • 会导致这种情况的组件的使用已经被认为是坏习惯了吗?(0 - 1)
  • 这个组件有多普遍/流行(例如Console vs HttpFoundation vs Lock)?(0 - 2)
  • 许多使用Symfony的知名开源项目是否受到影响,需要协调发布?ob娱乐下载(0 - 1)

得分总数

  • 攻击复杂度:1 - 5
  • 影响范围:1 ~ 6
  • 受影响项目:1 - 4个

严重级别

  • 低:1 - 5
  • 中:6 - 10
  • 高:11 - 12
  • 危急:13 - 14
  • 例外:15

安全警告

提示

您可以使用以下命令检查Symfony应ob娱乐下载用程序是否存在已知的安全漏洞check:security命令

检查安全警告从Symfony 1.0.0开始的Symfony发行版中修复的所有安全漏洞的列表。ob娱乐下载

此工作,包括代码示例,是根据创作共用BY-SA 3.0许可证。
ob娱乐下载Symfony 6.2支持通过苏禄人
ob娱乐下载Symfony 6.2支持通过Les-Tilleuls.coop