漏洞管理¶

漏洞报告¶

如安全策略所述，可通过 GitHub 私下向项目报告安全漏洞。

漏洞管理团队¶

一旦漏洞被报告给项目，漏洞管理团队 (VMT) 将负责管理该漏洞。VMT 的职责包括：

• 对漏洞进行分级处理。
• 与报告者和项目维护者协调，进行漏洞分析和解决。
• 根据需要起草已确认漏洞的安全公告。
• 与项目维护者协调，发布修复补丁和安全公告。

安全公告¶

公告通过 GitHub 发布，使用与报告漏洞相同的系统。有关该流程的更多信息，请参阅 GitHub 文档。

团队成员¶

我们更倾向于在 GitHub 上的安全报告中保留所有与漏洞相关的沟通。但是，如果您需要直接联系 VMT 处理紧急问题，可以联系以下人员：

• Simon Mo - [email protected]
• Russell Bryant - [email protected]
• Huzaifa Sidhpurwala - [email protected]

Slack 讨论¶

您可以在 vLLM Slack 的 #security 频道中讨论与安全相关的话题。但是，请不要在此频道中披露任何漏洞。如果您需要报告漏洞，请使用 GitHub 安全公告系统或私下联系 VMT 成员。

漏洞披露¶

漏洞披露的流程如下：

• VMT 将与项目维护者合作，为漏洞开发修复补丁。
• VMT 将与报告者和项目维护者协调，准备一份充分描述漏洞及其影响的安全公告。
• VMT 将与项目维护者协调，发布修复补丁并发布包含该补丁的更新。
• VMT 将在 GitHub 上发布安全公告。发布说明将更新，以包含对安全公告的引用。

VMT 和项目维护者将努力减少在披露有关漏洞的任何公共信息与发布补丁和公告之间的时间间隔。