简介
我们重视我们的开源社区,并正在采取措施改进我们的安全沟通。我们在 2022 年启动了 ClickHouse Cloud 信任中心,该中心描述了我们的安全控制、合规工作,并允许客户订阅我们的计划更新。
今天,我们很高兴宣布推出支持 ClickHouse 开源软件 (OSS) 的信任中心!我们的 ClickHouse OSS 信任中心是链接到我们的漏洞赏金计划、政策和配置的一站式商店。我们还将利用我们的信任中心发送漏洞修复通知。
订阅我们的 ClickHouse OSS 信任中心有什么好处?
我们的 ClickHouse OSS 漏洞管理计划使我们能够通过漏洞赏金计划、代码扫描和来自贡献者的报告接收潜在漏洞的通知。我们会在收到通知后的五 (5) 个工作日内开始调查。如果漏洞得到确认,我们将努力充分理解和分类漏洞,然后确定其工作优先级。
一旦通过修复或配置获得补救措施,我们可能会采取几种途径来告知我们的社区。如果修复很简单且利用风险较低,我们会将修复添加到我们的安全更改日志中,更新我们的公共存储库,并发布通用漏洞和披露 (CVE) 记录。
可能更复杂且利用风险更高的修复程序符合我们新的禁运通知计划的资格,在该计划中,我们将在公开信息之前向信任中心订阅者提供提前通知。在禁运通知与将问题添加到我们的更改日志并发布 CVE 的其他步骤之间通常会有一个短暂的窗口期。
禁运通知的目的是什么?
如果某个漏洞未公开或未被广泛知晓,并且利用对我们的开源用户构成高风险,我们希望为我们的用户提供一个机会,在威胁行为者意识到该问题存在之前实施修复。注册禁运通知计划和选择退出都很容易,如果通知与您不再相关。
CVE 报告
为了确保漏洞信息尽可能广泛地可用,我们不仅通过我们的信任中心和开源存储库发布通知和修复程序,而且还自豪地参与CVE 编号机构 (CNA) 计划。我们确保通过 CVE 数据库提供漏洞信息,其中包含清晰的描述和修复说明。我们还关注报告的相关 CVE,以确保准确的分类、描述和修复。
如何订阅
想了解更多信息或注册接收通知?请访问我们的ClickHouse OSS 信任中心。
