推出新的 ClickHouse 开源软件信任中心

我们重视我们的开源社区，并正在采取措施改进我们的安全通信。我们在 2022 年推出了 ClickHouse Cloud 信任中心，其中描述了我们的安全控制、合规性工作，并使客户能够订阅我们程序的更新。

今天，我们很高兴地宣布推出支持 ClickHouse 开源软件 (OSS) 的信任中心！我们的ClickHouse OSS 信任中心 是一个一站式商店，提供指向我们的漏洞赏金计划、策略和配置的链接。我们还将利用我们的信任中心发送漏洞修复通知。

我们的 ClickHouse OSS 漏洞管理计划使我们能够通过我们的漏洞赏金计划、代码扫描和来自贡献者的报告接收潜在漏洞的通知。我们在收到通知后五个 (5) 工作日内开始调查。如果确认存在漏洞，我们将努力全面了解和分类漏洞，然后确定其优先级以进行修复。

一旦通过修复或配置提供补救措施，我们可能会采取两种途径让我们的社区知道。如果修复很简单并且利用风险较低，我们会将修复添加到我们的安全变更日志中，更新我们的公共存储库，并发布通用漏洞和披露 (CVE) 记录。

可能更复杂且利用风险更高的修复措施符合我们新的禁运通知计划，在该计划中，我们将在公开发布信息之前向信任中心订阅者提供预先通知。在禁运通知和将问题添加到我们的变更日志并发布 CVE 的其他步骤之间通常会有一个短暂的窗口。

如果漏洞没有公开或广泛为人所知，并且利用该漏洞对我们的开源用户构成高风险，我们希望为我们的用户提供在威胁参与者意识到问题存在之前实施修复的机会。加入禁运通知计划非常容易，如果您不再需要这些通知，也可以轻松退出。

为了确保漏洞信息尽可能广泛地提供，我们不仅通过我们的信任中心和开源存储库发布通知和修复，而且还是CVE 编号机构 (CNA) 计划的自豪参与者。我们确保通过 CVE 数据库提供漏洞信息，并提供清晰的描述和补救说明。我们还会关注报告的相关 CVE，以确保准确的分类、描述和修复。

想了解更多信息或注册通知？请访问ClickHouse OSS 信任中心。