安全发布说明的注意事项

Question

我需要帮助，了解如何管理我们的产品的安全发行说明。我们每半年都会发布我们的产品，每个月都会发布安全或维护版本。

关于我们告诉客户的安全问题，我应该考虑什么？

• 我们应该告诉他们我们升级了我们的第三方软件吗?，例如，我们应该告诉他们我们升级了Apache服务器版本吗？
• 我们应该列出Apache、中修复的漏洞，还是足够链接到Apache站点的漏洞？
• 我们应该管理带有版本的3D派对软件的列表吗？
• 我们的内部安全漏洞怎么办?应该列出固定安全漏洞的列表吗？这可能会危及那些不会升级到最新版本的客户。
• 我们应该如何公布安全漏洞呢?应该将我们的公司作为http://cve.mitre.org/数据库的供应商添加到CVE数据库中(比如Apache)，并在每次发现它时创建新的CVE吗？或者仅仅列出我们的内部错误号就足够了吗？
• 我们应该只在CVE数据库中添加客户发现的漏洞吗？或者我们应该在CVE数据库中添加QA发现的漏洞吗？

(我们的产品是运行在Apache和Tomcat上的Java应用程序。)

Answer 1

问得好！我写了一些这些，但总是有一种非常正式的方式，以至于我从来没有选择去想真正需要什么.

从必须使用、支持和升级您的产品的人的角度来看，我认为您需要包括：

• 高级信息(如果可能的话是指向详细信息的指针)--说明为什么需要修复。类似于-“在XYZ组件中更正字符串缓冲区处理”是有帮助的。
• 已知的问题-任何你还不能解决的问题都还在里面。
• 第三方软件的升级和找到所有第三方软件的当前基准的地方，不管它是否升级。

本质上，他们需要知道你修正了什么以及你的基线是什么。特别是在Java世界中，可能存在足够多的冲突和问题，一个明智的公司应该记录哪些服务器正在运行哪些版本的JVM和其他组件。

对于你的问题还有其他一些具体的答案：

• 我们应该列出Apache中修复的漏洞吗？或者有足够的链接到Apache站点？
  • 一个链接将是一种仁慈。不要把发布说明和其他产品的细节弄得乱七八糟。

• 我们应该管理带有版本的三维派对软件的列表吗？
  • 它应该在某个地方，我不确定它必须在发行说明，但如果没有，那么它应该在你的网站某处。

• 我们的内部安全漏洞呢？我们应该列出固定安全漏洞的列表吗？这可能会危及那些不会升级到最新版本的客户。
  • 请记住，不披露已知的漏洞可能被视为一种法律责任。这是给你律师的。国际海事组织告诉客户，让他们知道为什么安全修复是如此重要，这是更多的价值，掩盖它的安全，因为谁不能升级足够快。这就是说，你不必说“如果你的X，Y，Z你将获得管理特权”。说“访问控制系统中被切断的漏洞”应该足够好。

• 我们应该如何公布安全漏洞？我们是否应该将我们的供应商添加到CVE数据库http://cve.mitre.org/中，并在每次找到它时创建新的CVE？或者足够列出我们的内部错误号？
  • 我不太清楚你所说的“我们的供应商”是什么意思--我个人不会为CVE的发现注册第三方，除非同意他们的意见。

• 我们应该只在CVE数据库中添加客户发现的漏洞吗？我们是否应该在CVE数据库中添加QA发现的漏洞？
  • 我还没有听说过任何供应商在内部测试/修复文档中使用CVE。我认为如果您首先找到它，那么链接到您自己的修复错误存储库应该可以，但是我还没有开发出那么多的商业软件。