提交安全问题是为 Fuchsia 项目做贡献的绝佳方式。与 Fuchsia 相关的安全问题报告可能符合 Android 和 Google 设备安全奖励计划的奖励条件。
如需详细了解该计划的详细信息和资格条件,请参阅 Android 和 Google 设备安全奖励计划以及 Google Bug Hunters - Fuchsia。
报告新的安全问题
如需报告 Fuchsia 中的安全问题,请使用 Google Bug Hunters 报告表单,并提供问题的详细信息。
填写问题模板
请在问题说明中提供以下信息。
错误或漏洞详情
简要说明安全问题,包括以下任何一项:
- 问题在代码或界面中的位置。
- 安全问题的类别。类别包括缓冲区溢出、钓鱼式攻击、加密损坏、绕过授权等。
- 受影响的资产类型。资产类型包括浏览器 Cookie、对设备的控制、个人身份信息等。
版本信息
提供与您的安全问题相关的任何版本信息,例如:
- fuchsia.git 修订版本号
- Fuchsia 版本号
- 产品名称(例如 Nest Hub)
重现 / 概念验证的步骤
提供重现安全问题所需的演示或步骤列表。
演示信息可能包括以下内容:
- 源代码
- Address Sanitizer 转储
- 调试程序输出
- 示例输入,例如导致 JPEG 处理程序崩溃的 JPEG 文件
请尽量减少概念验证文件,并直接将其附加到问题中,而不是以 zip 格式或其他归档文件格式附加。
请务必移除演示问题不需要的所有内容,包括所有个人信息或机密信息。
常见漏洞和风险 (CVE) 和/或版本说明的信用信息
已发布的安全问题会公开显示。例如,安全问题可以作为 CVE 或版本说明的一部分发布。如果您希望自己的发现被列入演职员表,请提供一行说明,说明您希望如何被公开列入演职员表。您可以使用自己的姓名、假名,也可以保持匿名。
问题解决情况
Fuchsia 安全团队会对收到的问题进行分类,并将这些问题分配给相应的团队。然后,分配的团队可以在 Fuchsia Security 的指导下确定问题的优先级、分配问题并做出响应。