提出安全性問題是為 Fuchsia 專案貢獻心力的絕佳方式。與 Fuchsia 相關的安全性問題報告,可能符合 Android 和 Google 裝置安全獎勵計畫支付的款項。
如要進一步瞭解這項計畫的詳細資料和資格條件,請參閱「Android 和 Google 裝置安全獎勵計畫」和「Google Bug Hunters - Fuchsia」。
回報新的安全性問題
如要回報 Fuchsia 中的安全性問題,請使用 Google Bug Hunters 回報表單,提供問題的詳細資料。
填寫問題範本
請在問題說明中提供下列資訊。
錯誤或安全漏洞詳情
提供安全性問題的簡短說明,包括下列任何一項:
- 程式碼或使用者介面中該問題的位置。
- 安全性問題的類別。類別包括緩衝區溢位、網路釣魚、破解密碼編譯、規避授權等
- 受影響的素材資源類型。資產類型包括瀏覽器 Cookie、裝置控管 和個人識別資訊等
版本資訊
請提供與安全性問題相關的任何版本資訊,例如:
- fuchsia.git 修訂版本編號
- Fuchsia 版本號碼
- 產品名稱 (例如 Nest Hub)
重現 / 概念驗證的步驟
請提供重現安全性問題所需的示範或步驟清單。
示範資訊可包括:
- 原始碼
- Address Sanitizer 傾印
- 偵錯工具輸出內容
- 輸入範例,例如會當機 JPEG 處理常式的 JPEG 檔案
盡量減少概念驗證檔案並直接附加到問題中,不要在 ZIP 或其他封存格式內。
請務必移除展示問題所需的任何內容,包括任何個人或機密資訊。
常見安全漏洞與資料外洩風險 (CVE) 及/或版本資訊的信用資訊
已發布的安全性問題會公開顯示。舉例來說,安全性問題可以發布為 CVE,或納入版本資訊中。如果您想獲得審核結果,請提供一行說明,說明您想如何公開製作人員名單。您可以使用自己的姓名、筆名,也可以保持匿名。
問題圓滿解決
Fuchsia 安全性團隊會將收到的問題分類,並指派到適當的團隊。指派團隊可根據 Fuchsia Security 的建議,排定問題的優先處理順序、指派及回覆問題。