Go Security Policy

Implementation

Reporting a Security Bug

如果您发现任何问题,请向我们报告. 本文档说明了如何执行此操作以及期望得到什么.

Go发行版中的所有安全错误应通过电子邮件发送至security@golang.org . 这封邮件传递给一个小的安全团队. 您的电子邮件将在24小时内得到确认,并且您将在72小时内收到对电子邮件的更详细的回复,指示下一步处理报告的步骤.

为确保您的报告未被标记为垃圾邮件,请在电子邮件中的任意位置添加"漏洞"一词. 请在报告电子邮件中使用描述性主题行.

在对您的报告进行初次答复后,安全团队将努力使您了解有关修复和完整公告的进展情况. 这些更新将至少每五天发送一次. 实际上,这更有可能是每24-48小时一次.

如果您在48小时内未收到对电子邮件的答复,或者在过去五天内没有收到安全团队的来信,请直接与Go安全团队联系:

请注意,golang-dev是一个公开讨论论坛. 在此列表上升级时,请不要透露问题的详细信息. 只需声明您正在尝试联系安全团队的成员.

Flagging Existing Issues as Security-related

如果您认为现有问题与安全性有关,我们要求您发送电子邮件至security@golang.org . 该电子邮件应包含问题ID和为什么要根据此安全策略进行处理的简短说明.

Disclosure Process

Go项目使用以下公开过程:

  1. 收到安全报告后,将为其分配一个主要处理程序. 此人负责修复和发布过程.
  2. 确认了问题,并确定了受影响的软件列表.
  3. 审核代码以查找任何潜在的类似问题.
  4. 如果与提交者协商确定需要CVE-ID,则主处理程序将通过电子邮件发送给oss-distros .
  5. 已为两个最新的主要发行版和head / master修订版准备了修复程序. 这些修补程序尚未提交给公共存储库.
  6. 通知将发送到golang-announce邮件列表,以使用户有时间准备其系统进行更新.
  7. 在收到此通知后的三个工作日内,已将修补程序应用于公共存储库并发布了新的Go版本.
  8. 在应用修补程序的日期,将通知发送到golang-announcegolang-devgolang-nuts .

此过程可能需要一些时间,尤其是在需要与其他项目的维护者协调时. 我们将尽一切努力尽快解决该错误,但是,请务必遵循上述流程,以确保一致地处理披露.

对于包括分配CVE-ID在内的安全性问题,该问题在CVEDetails网站以及" 国家漏洞披露网站 "上的" Golang"产品下公开列出.

Receiving Security Updates

接收安全公告的最佳方法是订阅golang-announce邮件列表. 与安全问题有关的任何消息都将以[security]作为前缀.

Comments on This Policy

如果您有任何改进此政策的建议,请发送电子邮件至golang-dev@golang.org进行讨论.

PGP Key for security@golang.org

我们接受PGP加密的电子邮件,但是大多数安全团队都不是常规的PGP用户,因此有些不便. 请仅将PGP用于重要的安全报告.

-----BEGIN PGP PUBLIC KEY BLOCK-----

mQINBFXI1h0BEADZdm05GDFWvjmQKutUVb0cJKS+VR+6XU3g/YQZGC8tnIL6i7te
+fPJHfQc2uIw0xeBgZX4Ni/S8yIqsbIjqYeaToX7QFUufJDQwrmlQRDVAvvT5HBT
J80JEs7yHRreFoLzB6dnWehWXzWle4gFKeIy+hvLrYquZVvbeEYTnX7fNzZg0+5L
ksvj7lnQlJIy1l3sL/7uPr9qsm45/hzd0WjTQS85Ry6Na3tMwRpqGENDh25Blz75
8JgK9JmtTJa00my1zzeCXU04CKKEMRbkMLozzudOH4ZLiLWcFiKRpeCn860wC8l3
oJcyyObuTSbr9o05ra3On+epjCEFkknGX1WxPv+TV34i0a23AtuVyTCloKb7RYXc
7mUaskZpU2rFBqIkzZ4MQJ7RDtGlm5oBy36j2QL63jAZ1cKoT/yvjJNp2ObmWaVF
X3tk/nYw2H0YDjTkTCgGtyAOj3Cfqrtsa5L0jG5K2p4RY8mtVgQ5EOh7QxuS+rmN
JiA39SWh7O6uFCwkz/OCXzqeh6/nP10HAb9S9IC34QQxm7Fhd0ZXzEv9IlBTIRzk
xddSdACPnLE1gJcFHxBd2LTqS/lmAFShCsf8S252kagKJfHRebQJZHCIs6kT9PfE
0muq6KRKeDXv01afAUvoB4QW/3chUrtgL2HryyO8ugMu7leVGmoZhFkIrQARAQAB
tCZHbyBTZWN1cml0eSBUZWFtIDxzZWN1cml0eUBnb2xhbmcub3JnPokCTgQTAQoA
OAIbAwULCQgHAwUVCgkICwUWAgMBAAIeAQIXgBYhBGROHzjvGgTlE7xbTTpG0ZF5
Wlg4BQJd8rfQAAoJEDpG0ZF5Wlg4198P/2YDcEwEqWBWjriLFXdTGOcVxQ7AC/mX
Fe576zwgmrbqO00IaHOOqZZYXKd078FZyg2qQKILvfSAQB7EtLwfPEgv3Wca/Jb/
ma2hNz+AveiWDVuF4yPx8qvFer/6Yzv9+anfpUP//qfo/7L3VSYKwNAcqqNGvBMh
fLb7oWDSkdRmcu57c4WYv8i5BtxMRXs581r836bG3U0z0WQG8j64RpYp6sipqJnv
09l3R5SXd7kkS26ntLU4fgTNJ6Eim7YoXsqLtVe4VZHGYz3D0yHnvCBpbJa2WpP2
QT6TtFizvKtQlC0k1uo88VV8DyRdp2V6BO9cSNecvXZh81H0SjtD9MwdMnpX3shT
LKu3L6wlJtb/EJVZg6+usJo0VunUdNTiBmy4FJrko7YYOSVHKKBA6dooufGNUSjw
9Tieqh4jnzpg6+aIrNugZIrABH2G0GD/SvUSfjli0i+D1mqQSsMcLzE1BBcichpS
htjv6fU8nI5XXmloUn1P2WBwziemsb7YcfBLNVeCxlAmoJn1hnOPjNzmKfVZk95E
VJNvVB76JCh+S/0bAba5+nBZ1HRn/FAbs9vfUpp1sOFf25jX9bDAZvkqwgyPpNv/
jONK0zNXRD5AfKdCA1nkMI70NNS5oBxPowp95eKyuw4hCINvfuPq5sLJa3cIMj3M
MVO91QDs9eXxuQINBFXI1h0BEACXD0f/XJtCzgrdcoDWOggjXqu1r0pLt7Dvr5qB
ejSN5JHAwRB8i07Fi9+Gajz7J2flNaxNuJ8ZTwvf4QFMxFHLNaFtoY7RaLPDsFNU
nufklb6d0+txSmn+KVSToBRXFo7/z9H735Ulmmh6gsddiWgUY25fnwYsjLWNIG8u
wuX8qLkg6se8PUYrpN+06XmPwg8LUtIGvAYk7zTfHvBR1A/+2wo39A9HymcGe2sS
CtAVIj5DeqsK9UyZecGVi6aN84G3ykoyAH3+LH4dY3ymJA1CInEP5eMQzpfBSZCo
hHvLkYg0paC6d0Ka1gjNWBj2nYGvpQ+tMmLXYt8q/mzZHo2fEUe/9p3b0Kk9N4sl
GxKoV+oEv3r0EKmP+KxeZASbgW3OJmJ0BFejXYqIYCc8X2i2Ks0enj7yHA0Hexx/
twjnfLydmK871zAjsGgKVjpkhpuMNwnGMr7bh6ajPeYnlIelmlAtJv2jwZsst9c6
r7i7MRfYDfR+Gu2xBv/HQYzi/cRTVo/aaO6SzJhuCV21jri0PfnCoAD2ZWXlTH6D
UehQG8vDSH6XPCHfvQ0nD/8hO8FBVS0MwH3qt8g/h8vmliXmmZHP6+y4nSJfObTm
oGAp9Ko7tOj1JbFA91fz1Hi7T9dUCXDQCT1lx6rdb3q+x4RRNHdqhkIwg+LB9wNq
rrStZQARAQABiQI2BBgBCgAgAhsMFiEEZE4fOO8aBOUTvFtNOkbRkXlaWDgFAl3y
uFYACgkQOkbRkXlaWDiMgw//YvO2nZxWNSnQxqCEi8RXHV/3qsDDe8LloviFFV/M
GSiGZBOhLJ0bFm9aKKPoye5mrZXBKvEVPu0h1zn43+lZruhARPiTu2AecQ7fstET
PyXMZJ4mfLSFIaAumuH9dQEQJA9RRaFK8uzPRgAxVKyuNYS89psz/RvSeRM3B7Li
m9waLs42+5xtltR5F6HKPhrgS/rrFHKMrNiDNMMG2FYu1TjonA9QnzAxDPixH3A1
VNEj6tVqVK8wCMpci3YaXZJntX0H3oO6qloL8qIpSMVrIiD4IDBDK13Jn3OJ7veq
iDn1mbGFYtfu8R+QV2xeDSJ6nEKfV3Mc3PFDbJMdzkOCdvExC8qsuUOqO4J6dRt7
9NVptL0xZqlBjpF9fq9XCt7ZcQLDqbUF/rUs58yKSqEGrruXTx4cTLtwkTLcqJOw
/CSgFtE8cvY51uupuEFzfmt8JLNTxsm2X2NlsZYxFJhamVrGFroa55nqgKe3tF7e
AQBU641SZRYloqGgPK+4PB79vV4RyEDETOpD3PvpN2IafVWDacI4LXW0a4EKnPUj
7JwRBmZxESda3OixSONv/VcuEOyGAZUppbLM4XYTtslRIqdQJFr7Vkza/VIoUqaY
MkFIioHf2QndVwDXt3d0b0aAGaLeMRD1MFGtLNigEDD45nPeEpuGzXkUATpVWGiV
bIs=
=Nx85
-----END PGP PUBLIC KEY BLOCK-----

by  ICOPY.SITE