漏洞管理¶

报告漏洞¶

如安全政策所述，可通过GitHub私下向项目报告安全漏洞。

漏洞管理团队¶

一旦漏洞被报告给项目，漏洞管理团队(VMT)将负责管理该漏洞。VMT的职责包括：

• 漏洞分类处理
• 与报告者和项目维护者协调漏洞分析和解决方案。
• 针对已确认的漏洞酌情起草安全公告。
• 与项目维护者协调修复补丁和安全公告的同步发布。

安全公告¶

安全公告通过GitHub发布，使用的是与报告漏洞相同的系统。有关该流程的更多信息，请参阅GitHub文档。

团队成员¶

我们更倾向于将所有与漏洞相关的沟通保留在GitHub的安全报告中。不过，如果您因紧急问题需要直接联系VMT，可以联系以下人员：

• Simon Mo - simon.mo@hey.com
• Russell Bryant - rbryant@redhat.com
• Huzaifa Sidhpurwala - huzaifas@redhat.com

Slack讨论¶

您可以使用vLLM Slack中的#security频道讨论安全相关话题。但请注意不要在该频道中披露任何漏洞信息。如需报告漏洞，请使用GitHub安全公告系统或私下联系VMT成员。

漏洞披露¶

漏洞披露流程如下：

• VMT将与项目维护者合作，开发针对该漏洞的修复方案。
• VMT将与报告者和项目维护者协调，准备一份充分描述漏洞及其影响的安全公告。
• VMT将与项目维护者协调发布修复程序并推出包含该修复的更新版本。
• VMT将在GitHub上发布安全公告。版本说明将更新以包含对该安全公告的引用。

VMT和项目维护者将努力缩短从公开漏洞相关信息到发布修复版本和安全公告之间的时间间隔。