FreeBSD 安全漏洞报告信息

与操作系统相关的 FreeBSD 安全问题应报告给 FreeBSD 安全团队，或者如果需要更高级别的机密性，则使用 安全官 PGP 密钥 通过 PGP 加密发送到 安全官团队。

与 Ports Collection 相关的 FreeBSD 安全问题应报告给 FreeBSD Ports 安全团队。

所有报告至少应包含

如果可能，请使用 安全公告 和 勘误通知 模板分别提供背景、问题描述、影响和解决方法（如果适用），这将非常有帮助。

报告此信息后，安全官或安全团队代表将与您联系。

为了使 FreeBSD 项目能够及时响应漏洞报告，发送到 <security-officer@FreeBSD.org> 邮件别名的电子邮件目前会发送给以下人员

安全官得到 FreeBSD 安全团队，<secteam@FreeBSD.org> 的支持，这是一个由安全官审查的小组提交者。

作为一项通用政策，FreeBSD 安全官倾向于在合理的延迟后完全公开漏洞信息，以允许对漏洞进行安全的分析和修正，以及对修正进行适当的测试，并与其他受影响的方进行适当的协调。

安全官将通知一个或多个 FreeBSD 集群管理员存在使 FreeBSD 项目资源面临直接危险的漏洞。

如果需要他们的专业知识才能充分理解或纠正问题，安全官可能会将其他 FreeBSD 开发人员或外部开发人员纳入提交的安全漏洞的讨论中。将谨慎行事以最大程度地减少对提交的漏洞信息的无必要分发，并且任何参与的专家都将按照安全官的政策行事。过去，专家是根据他们在操作系统高度复杂组件（包括 FFS、VM 系统和网络堆栈）方面的丰富经验而被纳入的。

如果 FreeBSD 发行流程正在进行中，则还可以通知 FreeBSD 发行工程师存在漏洞及其严重性，以便可以就发行周期以及与即将发布的软件相关的任何严重安全漏洞做出明智的决策。如果需要，安全官不会与发行工程师共享有关漏洞性质的信息，将信息流限制在存在和严重性。

FreeBSD 安全官与许多其他组织保持着密切的工作关系，包括与 FreeBSD 共享代码的第三方供应商（OpenBSD、NetBSD 和 DragonFlyBSD 项目、Apple 和其他从 FreeBSD 派生软件的供应商，以及 Linux 供应商安全列表），以及跟踪漏洞和安全事件的组织，例如 CERT。漏洞通常可能超出 FreeBSD 实现的范围，（也许不太常见）可能对全球网络社区产生广泛的影响。在这种情况下，安全官可能希望将漏洞信息披露给这些其他组织：如果您不希望安全官这样做，请在任何提交中明确说明。

提交者应注意明确记录任何特殊的信息处理要求。

如果漏洞提交者有兴趣与提交者和/或其他供应商进行协调披露流程，则应在任何提交中明确说明。在没有明确请求的情况下，FreeBSD 安全官将选择一个披露时间表，该时间表既反映了及时披露的愿望，也反映了对任何解决方案的适当测试。提交者应注意，如果漏洞在公共论坛（例如 bugtraq）中被积极讨论，并且被积极利用，则安全官可能会选择不遵循建议的披露时间表，以便为用户社区提供最大程度的保护。

提交可以使用 PGP 进行保护。如果需要，回复也将使用 PGP 进行保护。