如何向 OpenStack 报告安全问题

如果您认为您发现了一个漏洞，请与我们合作一起修复和披露该问题。我们提供两种方式向 OpenStack 漏洞管理团队报告问题，具体取决于问题的敏感程度

• 请查阅项目的文档，以确定其接收错误报告的位置。如果在 https://storyboard.openstack.org/ 上，请登录并创建一个新的 story，确保选中 Private 和 Vulnerability or Security-related 复选框，并在保存之前选择相关的项目作为初始任务。如果在 https://bugs.launchpad.net/ 上，则在其中找到该项目，登录并点击右侧的 ‘Report a bug’ 链接，填写 ‘Summary’ 和 ‘Further information’ 字段描述问题，然后在提交之前点击页面底部的 ‘This bug is a security vulnerability’ 复选框。这将使该 bug 变为私有，仅供漏洞管理团队访问。

• 如果问题极其敏感，或者您无法直接使用 bug 跟踪器，请将电子邮件发送给 漏洞管理团队 的一位或多位成员。鼓励您使用他们的 OpenPGP 密钥加密消息。

注意

所有关于疑似漏洞的私有报告都将被保密最多 90 天。除非出现特殊情况，否则任何私下报告的缺陷将在收到报告之日起 90 个日历日内公开，即使尚未确定解决方案。