Security 在免费/开源项目中公布漏洞需要多长时间?
在我对Apache许可证下分发的免费软件包的回顾中,我发现了许多漏洞,从模糊的代码问题到安全漏洞 我已经采取了以下步骤:Security 在免费/开源项目中公布漏洞需要多长时间?,security,disclosure,Security,Disclosure,在我对Apache许可证下分发的免费软件包的回顾中,我发现了许多漏洞,从模糊的代码问题到安全漏洞 我已经采取了以下步骤: 两周前,我通过私人电子邮件通知了项目负责人,除了确认上述电子邮件外,我没有看到任何与我提出的问题有关的内部或外部活动 我遵守了和制定的政策 问题 我应该再发一封电子邮件吗 如果没有回应,我是否应该继续公开发布这些问题 经历过这一切的人(来自任何一方)对如何处理这件事有什么好的建议吗 尽管开发人员规模很大,但不能对SAN的建议提出异议。无论团队规模大小,30天是解决大多数
- 两周前,我通过私人电子邮件通知了项目负责人,除了确认上述电子邮件外,我没有看到任何与我提出的问题有关的内部或外部活动
- 我遵守了和制定的政策
- 我应该再发一封电子邮件吗
- 如果没有回应,我是否应该继续公开发布这些问题
- 经历过这一切的人(来自任何一方)对如何处理这件事有什么好的建议吗
如果你认为你的道德推理是公平的,那么你应该遵循任何你认为最合理的常识(在这种情况下,我认为它是非常公平的)。p> 我同意。如果没有任何活动的迹象,最后再戳一下,然后开始让人们知道。就目前而言,每个人都依赖于默默无闻的安全性,而默默无闻其实什么都不是。据你所知,人们可能已经在利用这个漏洞。再戳一次就成功了。第三次是魅力?谢谢查看ZDI;也许你可以把它们卖掉;)披露政策是个人的事情,做你认为道德上正确的事情,你不会出错。@George只是想知道为什么你去掉了安全标签:是什么让它与安全无关?@George Stocker:明白。它不再描述我的处境,尽管它很接近。由于这个问题不再像我写的那样,我把它变成了一个社区问题。谢谢你深思熟虑的回答。我随后与供应商进行了跟进,供应商回答说他们一直很忙,我应该将其发布到总列表中。我也这么做了。我喜欢认为我可以邪恶地思考,但我甚至不认为它们可能是故意的后门缺陷。那么多邪恶的天才不在代码库的其余部分,所以我认为情况并非如此。这是一个测试工具,大多数用户群(每天大约5条帖子)不是开发人员。不管怎样,由于这些答案,我一直在跟进,现在公告已经公开。谢谢你的反馈!