This repository was archived by the owner on Sep 30, 2020. It is now read-only.
-
Notifications
You must be signed in to change notification settings - Fork 340
/
Copy pathsecurity.html
99 lines (75 loc) · 5.09 KB
/
security.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
---
layout: sv-SE/default
title: Rusts Säkerhetspolicy · Programmingsspråk Rust
---
<h1>Rusts Säkerhetspolicy</h1>
<h2>Rapportera en Bugg</h2>
<p>Säkerhet är en av kärnprinciperna för Rust, och därför vill vi se till att
Rust har en säker implementation. Tack för att du tar dig tid att ansvarsfullt
avslöja eventuella problem som du hittar.</p>
<p>Alla säkerhetsbuggar i Rust-distributionen ska rapporteras via email till
<a href="mailto:[email protected]">[email protected]</a>.
Denna listan vidarebefordras till ett litet säkerhetsteam. Ditt email kommer
uppmärksammas inom 24 timmar och du kommer få ett mer detaljerat svar till din
email inom 48 timmar som indikerar de nästa stegen i hanteringen av din rapport.
Om du vill kan du kryptera din rapport med
<a href="../rust-security-team-key.gpg.ascii">vår publika nyckel</a>.
Denna nyckel är också <a
href="https://pgp.mit.edu/pks/lookup?op=vindex&search=0xEFB9860AE7520DAC">på
MITs nyckelserver</a> och <a href="#key">reproducerad nedan</a>.</p>
<p>Den här emailadressen tar emot en stor mängd skräppost, så se till att du
använder en beskrivande ämnesrad för att undvika att din rapport missas. Efter
det första svaret på din rapport kommer säkerhetsgruppen att försöka hålla dig
informerad om framsteg som görs mot en åtgärd och ett fullständigt tillkännagivande.
Som rekommenderat på <a href="https://en.wikipedia.org/wiki/RFPolicy">RFPolicy</a>,
kommer dessa uppdateringar skickas åtminstone var femte dag. I verkligheten är
det snarare var 24-48:e timme.</p>
<p>Om du inte har fått ett svar på ditt email inom 48 timmar, eller inte har
hört från säkerhetsgruppen under de senaste fem dagarna, finns det några steg du kan ta:</p>
<ul>
<li>Kontakta den nuvarande säkerhetskoordinatorn (<a href="mailto:[email protected]">Steve Klabnik</a>
(<a href="https://pgp.mit.edu/pks/lookup?op=vindex&search=0xDAE717EFE9424541">publik nyckel</a>)) direkt.</li>
<li>Kontakta backup-kontakten (<a href="mailto:[email protected]">Alex Crichton</a>
(<a href="https://pgp.mit.edu/pks/lookup?op=vindex&search=0x5D54B6F551FF5E33">publik nyckel</a>)) direkt.</li>
<li>Skriv på <a href="https://internals.rust-lang.org/">de interna forumen</a>
eller fråga i IRC-kanalen #rust-internals på irc.mozilla.org.</li>
</ul>
<p>Observera att diskussionsforumen och IRC-kanalen #rust-internals är publika arenor.
När du eskalerar på dessa platser ska du inte diskutera ditt säkerhetsproblem.
Säg istället helt enkelt att du försöker få tag på någon från säkerhetsteamet.</p>
<h2>Policy för Iillkännagivande</h2>
<p>Rust-projektet har en 5-stegs tillkännagivandeprocess.</p>
<ol>
<li>Säkerhetsrapporten tas emot och tilldelas en huvudsamordnare.
Den här personen kommer att samordna fix- och release-processen.</li>
<li>Problemet bekräftas och en lista över alla drabbade versioner bestäms.</li>
<li>Koden granskas för att hitta eventuella liknande problem.</li>
<li>Åtgärder förbereds för alla releaser som fortfarande är under underhåll.
Dessa fixar comittas inte till det offentliga git-repot utan hålls istället
lokalt i väntan på tillkännagivande.</li>
<li>På tillgännagivandedagen skickas en kopia av tillgännagivandet till
<a href="https://groups.google.com/forum/#!forum/rustlang-security-announcements">Rusts säkerhets-email-lista</a>.
Förändringarna pushas till det offentliga git-repot och nya byggda releaser
distribueras till rust-lang.org. Inom 6 timmar efter att email-listan notifierats
kommer en kopia av tillkännagivandet att publiceras på Rust-bloggen.</li>
</ol>
<p>Den här processen kan ta lite tid, speciellt när koordinering krävs
med underhållare av andra projekt. Alla ansträngningar kommer att göras för att
hantera buggarna så snabbt som möjligt, men det är viktigt att vi följer
releaseprocessen ovan för att säkerställa att tillkännagivandet hanteras på ett
konsekvent sätt.</p>
<h2>Att Ta Emot Säkerhetsuppdateringar</h2>
<p>Det bästa sättet att ta emot alla säkerhetstillkännagivanden är att prenumerera
på <a href="https://groups.google.com/group/rustlang-security-announcements/subscribe">
Rusts mail-lista för säkerhetstillkännagivanden</a> (alternativt genom att skicka ett email till
<a href="mailto:[email protected]">[email protected]</a>)
Den här mail-listan har väldigt låg traffik och tar emot den publika notifikationen när embargot upphävs.</p>
<h3>Notifikation på Förhand</h3>
<p>Vi kommer at tillkännage sårbarheter 72 timmar före emargot lyfts på mail-listan
<a href="http://oss-security.openwall.org/wiki/mailing-lists/distros">distros@openwall</a>,
så att linux-distributioner kan uppdatera deras paket.</p>
<h2>Kommentarer på Denna Policy</h2>
<p>Om du har några förslag på hur denna policy kan förbättras, var god skicka
ett email till <a href="mailto:[email protected]">[email protected]</a>.</p>
<h2 id="key">PGP-nyckel i klartext</h2>
<pre><code>{% include rust-security-team-key.gpg.ascii %}</code></pre>