PR-URL: https://github.com/hasura/graphql-engine-mono/pull/7113 GitOrigin-RevId: f29224d486016ea8ef8bb6ff51d1059950509e02
5.4 KiB
रिपोर्टिंग कमजोरियाँ
हम सुरक्षा शोधकर्ताओं और उपयोगकर्ताओं के लिए बहुत आभारी हैं जो हसुरा समुदाय की कमजोरियों की रिपोर्ट करते हैं। सभी रिपोर्टों की सामुदायिक स्वयंसेवकों और हसुरा टीम के एक समूह द्वारा पूरी जाँच की जाती है।
सुरक्षा समस्या की रिपोर्ट करने के लिए, कृपया सभी आवश्यक जानकारी संलग्न करते हुए, हमें सभी विवरणों के साथ security@hasura.io पर ईमेल करें।
मुझे एक भेद्यता कब रिपोर्ट करनी चाहिए?
- आपको लगता है कि आपने हसुरा ग्रेफ्लिक इंजन या संबंधित घटकों में एक संभावित सुरक्षा भेद्यता की खोज की है।
- आप अनिश्चित हैं कि हसुरा ग्रेफ्लिक्स इंजन को एक भेद्यता कैसे प्रभावित करती है।
- आपको लगता है कि आपने किसी अन्य प्रोजेक्ट में भेद्यता की खोज की है जो हसुरा ग्राफकैल इंजन पर निर्भर करता है (जैसे, हरोकू, डॉकर, आदि)
- आप किसी अन्य सुरक्षा जोखिम की रिपोर्ट करना चाहते हैं जो हसरू ग्राफक्लिअन इंजन उपयोगकर्ताओं को संभावित रूप से नुकसान पहुंचा सकता है।
जब मुझे एक भेद्यता की रिपोर्ट नहीं करनी चाहिए?
- सुरक्षा के लिए आपको हसुरा ग्रेफ्लिक इंजन के घटकों की ट्यूनिंग करने में मदद चाहिए।
- आपको सुरक्षा संबंधी अपडेट लागू करने में सहायता की आवश्यकता है।
- आपका मुद्दा सुरक्षा से संबंधित नहीं है।
सुरक्षा भेद्यता प्रतिक्रिया
प्रत्येक रिपोर्ट को परियोजना के अनुचर और सुरक्षा दल द्वारा 3 कार्य दिवसों के भीतर स्वीकार और विश्लेषण किया जाता है।
रिपोर्टर को मुद्दे के विश्लेषण और संकल्प के हर चरण में अद्यतन रखा जाएगा। (ट्राइएज -> ठीक -> प्रकाशन)
सार्वजनिक प्रकटीकरण समय
एक सार्वजनिक प्रकटीकरण की तारीख को हसुरा उत्पाद सुरक्षा टीम और बग प्रस्तुतकर्ता द्वारा बातचीत की जाती है। उपयोगकर्ता शमन उपलब्ध होने के बाद हम बग का पूरी तरह से खुलासा करना चाहते हैं। जब बग या फिक्स अभी तक पूरी तरह से समझा नहीं गया है, तो समाधान में देरी करना उचित है, समाधान अच्छी तरह से परीक्षण नहीं किया गया है, या विक्रेता समन्वय के लिए। प्रकटीकरण के लिए समय सीमा तत्काल से है (खासकर अगर यह पहले से ही सार्वजनिक रूप से ज्ञात है) कुछ हफ्तों तक। हम आम तौर पर 7 दिनों के क्रम में एक सार्वजनिक प्रकटीकरण की रिपोर्ट के बीच समय-सीमा की अपेक्षा करते हैं। Hasura GraphQL इंजन मेंटेनर और सुरक्षा टीम एक प्रकटीकरण तिथि निर्धारित करने पर अंतिम कॉल लेगी।
(कुछ वर्गों से प्रेरित और अनुकूलित किया गया है https://github.com/kubernetes/website/blob/master/content/en/docs/reference/issues-security/security.md)