安全策略

安全注意事项

Rebar3 是一款构建工具，其设计允许从下载的组件中执行任意代码。脚本可以在常规项目工作流程的各个领域执行，包括（但不限于）：修改配置文件的脚本、“解析转换”（宏）、插件、提供程序和 shell 钩子等等。

Rebar3 用户应了解其模型的本质，并且与这些设计部分相关的问题将不被视为安全问题或漏洞。

报告安全问题

所有安全问题应报告给一位或多位当前维护人员

• Fred Hebert (@ferd)
• Tristan Sloughter (@tsloughter)

电子邮件地址可在 GitHub 个人资料中找到，PGP 公钥可在 Keybase 个人资料中找到。

如果您在 48 小时内未收到对您的查询的回复，或者在过去五天内未收到维护人员之一的回复，您可以采取以下几个步骤

• 维护人员 Keybase 个人资料中的一个经过身份验证的渠道
• 直接在 GitHub 上创建一个问题
• 在 官方 Erlang Slack 团队 的 #rebar3 频道提问
• 在 libera.chat 上的 IRC 的 #rebar 频道提问

请注意，GitHub 问题、邮件列表和聊天频道是公共区域。在这些场所升级时，请勿讨论您问题的详细信息。只需说您正在尝试联系维护团队的某个人。

披露政策

我们是一个由志愿者组成的小型项目，他们在空闲时间工作，并且接触其他通信渠道的开发人员的机制有限。

披露将是临时性的，并尽可能多地传达给更多人。

不过，预期步骤如下

1. 问题由维护人员接收并私下讨论
2. 修复程序在维护人员之间准备和审查
3. 准备好后，修复程序将提交到存储库，并发布新版本
4. 将在与项目相关的公共渠道上发布有关新版本的信息

接收安全更新

了解安全更新的最佳方法是订阅项目的任何通信渠道。

关于此策略的评论

如果您有任何建议可以改进此策略，请与维护人员联系或在 GitHub 上创建一个问题。