Apacheセキュリティチームは、セキュリティ問題に関するApacheプロジェクトを指導し、すべてのセキュリティ脆弱性の処理を調整します。チームは、すべてのApacheプロジェクトをカバーするCVE番号付与機関(CNA)であり、Apache Software Foundationプロジェクトの課題にIDを割り当てることができる唯一のグループです。アドバイザリはプロジェクトごとに公開され、プロジェクトアドバイザリから確認できます。
潜在的なセキュリティ脆弱性は、公開フォーラムで開示する前に、まず非公開のセキュリティメーリングリストのいずれかに報告することを強くお勧めします。
Apacheプロジェクトのセキュリティ担当者のリストが利用可能です。プロジェクト固有のセキュリティメールアドレスが見つからず、未公開のセキュリティ脆弱性を報告する必要がある場合は、以下の一般的なセキュリティアドレスを使用してください。
セキュリティ担当者には、Apacheプロジェクトの未公開のセキュリティ脆弱性を報告し、そのような脆弱性の修正プロセスを管理するためだけに連絡してください。これらのアドレスでは、通常のバグレポートやその他のセキュリティ関連のクエリを受け付けることはできません。Apacheプロジェクトの未公開のセキュリティ問題に関連しない、これらのアドレスに送信されたメールは無視されます。
また、セキュリティチームは、ASFサービスの実行ではなく、Apacheプロジェクトの脆弱性を処理します。ASFサービスの脆弱性の報告は、root@apache.orgに送信してください。(apache.org Webサイトの問題が含まれます)
一般的なセキュリティメーリングリストのアドレスは、security@apache.orgです。これは非公開のメーリングリストです。
報告する脆弱性ごとに、プレーンテキストの暗号化されていないメールを1通送信してください。プレーンテキストで簡単に説明できる場合に、画像、動画、HTML、またはPDFの添付ファイルとしてレポートを送信すると、レポートの再送信を求められる場合があります。
これらは、私たちがよく認識しており、何度も報告されているものですが、セキュリティの脆弱性としては分類していません。報告しないでください。
セキュリティ関連として分類されない問題
Apacheプロジェクトの既知の脆弱性に関する情報は、通常、プロジェクトのWebページにあります。便宜上、Apacheプロジェクトのセキュリティ情報ページのリストを参照してください。プロジェクトのWebサイトで探している情報が見つからない場合は、プロジェクトのusersメーリングリストで質問してください。セキュリティ担当者に直接質問しないでください
パッケージを安全に構成する方法
公開された脆弱性が、使用しているApacheパッケージの特定のバージョンに適用されるかどうか
公開された脆弱性が、使用しているApacheパッケージの構成に適用されるかどうか
公開された脆弱性に関する詳細情報の入手
公開された脆弱性に対処するためのパッチや新しいリリースの可用性
関連プロジェクトのusersリストは、そのような質問をするための場所です。Apacheセキュリティチームとプロジェクトセキュリティチームは、直接送信されたそのような質問を無視します。
脆弱性処理プロセスの概要は次のとおりです。
報告者は、脆弱性をApacheに非公開で報告します。
該当するプロジェクトのセキュリティチームは、報告者と非公開で協力して脆弱性を解決します。
プロジェクトは、脆弱性の影響を受けるパッケージの新しいリリースを作成して、修正を提供します。
プロジェクトは、脆弱性を公に発表し、修正を適用する方法を説明します。
コミッターは、プロセスの詳細な説明を読む必要があります。セキュリティ脆弱性の報告者も役立つ場合があります。
コミッターとセキュリティ研究者は、コミュニティディスカッションリストに参加することをお勧めします。