本文字数:1326;估计阅读时间:4 分钟
引言
我们非常重视开源社区,并不断改进我们的安全通讯。在2022年,我们推出了 ClickHouse Cloud Trust Center,详细描述了我们的安全控制和合规措施,并允许客户订阅我们计划的更新。
今天,我们很高兴地宣布推出一个支持 ClickHouse 开源软件(OSS)的信任中心!我们的 ClickHouse OSS 信任中心是一个一站式平台,提供关于漏洞奖励计划、政策和配置的所有链接。我们还将利用信任中心发送漏洞修复通知。
订阅 ClickHouse OSS 信任中心有哪些好处?
我们的 ClickHouse OSS 漏洞管理计划使我们能够通过漏洞奖励计划、代码扫描和贡献者报告接收潜在漏洞的通知。我们会在收到通知后的五个工作日内开始调查。如果确认存在漏洞,我们会全面理解和分类漏洞,并优先处理。
一旦有修复或配置措施可用,我们会通过几种方式通知社区。如果修复较为简单且风险较低,我们会将修复记录到我们的安全变更日志,更新公共存储库,并发布通用漏洞和暴露(CVE)记录。
对于那些复杂且利用风险较高的修复措施,会纳入我们的新禁运通知程序。在将信息公开前,我们会提前通知信任中心的订阅者。通常,禁运通知和将问题记录到变更日志并发布 CVE 之间的时间窗口很短。
禁运通知的目的是什么?
当某个漏洞尚未公开或广为人知,并且其利用可能对我们的开源用户构成高风险时,我们希望用户能够在威胁行为者得知问题存在之前先行实施修复。加入禁运通知程序非常简单,如果不再需要相关通知,退出也同样方便。
CVE报告
为了确保漏洞信息广泛传播,我们不仅通过信任中心和开源库发布通知和修复措施,还骄傲地参与了CVE编号授权(CNA)计划。我们确保通过CVE数据库提供漏洞信息,包含清晰的描述和修复说明。我们还会关注相关的CVE报告,以确保准确的分类、描述和修复。
如何订阅
想了解更多或注册接收通知?请访问 ClickHouse OSS 信任中心 【https://trust.clickhouse.com/?product=clickhouseoss】。
征稿启示
面向社区长期正文,文章内容包括但不限于关于 ClickHouse 的技术研究、项目实践和创新做法等。建议行文风格干货输出&图文并茂。质量合格的文章将会发布在本公众号,优秀者也有机会推荐到 ClickHouse 官网。请将文章稿件的 WORD 版本发邮件至:Tracy.Wang@clickhouse.com
扫一扫
5382
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
