diff --git a/README.md b/README.md index 5083f3dce8ed5923d8e789030a5fb373a754a879..c75e81bbae8ec1ca758b56078007cab753699cd8 100644 --- a/README.md +++ b/README.md @@ -1,47 +1,54 @@ # vulnerability verification program -#### 介绍 +### 介绍 项目用于收集openKylin社区安全漏洞验证程序,此项目为openKylin安全漏洞动态检测框架的一部分,更多信息查看[openKylin安全委员会](https://gitee.com/openkylin/community/tree/master/sig/SecurityCommittee)。 -#### 软件架构 +### 软件架构 -#### 安装教程 +### 安装教程 当前收集的漏洞验证程序[列表](https://gitee.com/openkylin/vulnerability-verification-program/blob/master/vulnerability_list.yaml) git clone https://gitee.com/openkylin/vulnerability-verification-program.git -#### 使用说明 +### 使用说明 按照软件、类型进行分类可用的漏洞验证程序。 -#### 参与贡献 +### 参与贡献 由于漏洞验证程序较为敏感,我们计划暂时只开源公开部分的漏洞验证程序,如有其他疑问可咨询以下人员: - @cn-lwj(liwenjie@kylinos.cn) - @panexiang(panzhenhua@kylinos.cn) -我们欢迎社区爱好者/白帽给我们提供openKylin发型版的漏洞验证程序,我们将定期邀请活跃的社区贡献者加入到openKylin社区安全委员会,同时贡献者也将同时获得优先接触社区未披露的安全漏洞一手情报。 +我们欢迎社区爱好者/白帽给我们提供openKylin发行版的漏洞验证程序,我们将定期邀请活跃的社区贡献者加入到openKylin社区安全委员会,同时贡献者也将同时获得优先接触社区未披露的安全漏洞一手情报。 -贡献漏洞验证程序参考步骤如下: +贡献已公开披露漏洞验证程序参考步骤如下: 1. Fork 本仓库 2. 新建 Feat_xxx 分支 3. 提交代码 4. 新建 Pull Request -如果想要项目提供暂时未有的漏洞验证程序,也可通过新建[issue](https://gitee.com/openkylin/vulnerability-verification-program/issues/new)。 +由于未公开漏洞危险性,我们将严格按照[openKylin安全漏洞信息披露政策]()对漏洞进行处理披露。同时我们采取以下措施来对贡献者贡献的漏洞信息进行处理。 +1. 我们对所有来自贡献者提交的Pull Request开启了代码评审功能,开启的代码评审(Pull Request),仅管理员、审查者、测试者可见,保证了当前Pull Request信息的安全。 +2. 当贡献者提交issue时,打开了内容风险标识选项后,当前提交的issue非项目成员均无法查看,保证了当前提交的issue信息的安全。 -更多详细步骤请查看[openKylin社区个人开发者参与指南](https://gitee.com/openkylin/docs/tree/master/%E5%BC%80%E5%A7%8B%E8%B4%A1%E7%8C%AE). +同时我们也建议贡献者通过以下渠道向社区贡献未公开漏洞: +1. Psirt邮箱 +psirt@lists.openkylin.top,您可以通过E-mail将openKylin相关的安全漏洞情报、信息反馈给Openkylin安全团队,由于内容比较敏感,建议您使用公钥对邮件信息进行加密,[公钥下载链接](https://kylinos.cn/upload/psirt_kylinos_pub.asc)。 -#### 贡献说明 +如果想要项目提供暂时未有的公开漏洞的验证程序,也可通过新建[issue](https://gitee.com/openkylin/vulnerability-verification-program/issues/new)。 + +更多详细贡献步骤请查看[openKylin社区个人开发者参与指南](https://gitee.com/openkylin/docs/tree/master/%E5%BC%80%E5%A7%8B%E8%B4%A1%E7%8C%AE). + +### 贡献说明 1. 提交漏洞验证程序目录结构:漏洞编号类型(cve、cnvd)/软件/漏洞年份/漏洞编号。 2. 提交漏洞验证程序需要提供漏洞CVE-xxxx-xxx.yaml文件,项目根目录下提供漏洞模版.yaml,内容包括但不限于:漏洞编号、漏洞等级、漏洞简介、漏洞类型、漏洞检测程序来源、补丁链接。 3. 提交漏洞验证程序需要补充项目根目录中vulnerability_list.yaml文件。 4. 漏洞README.md文件,需要有漏洞验证程序的详细使用方法。 -#### 声明 - -本项目收集漏洞验证程序均为学习、防御用途,请勿用于其他用途,否则后果自负。 +### 免责声明 +为本项目为[openKylin SecurityCommittee SIG组](https://gitee.com/openkylin/community/tree/master/sig/SecurityCommittee)主导建立的漏洞验证程序仓库,仓库内容不代表本项目团队和openKylin社区的立场及观点。由于传播、利用此项目中的一切内容而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本项目团队和openKylin社区不为此承担任何责任。