हम सुरक्षा शोधकर्ताओं और उपयोगकर्ताओं के लिए बहुत आभारी हैं जो हसुरा समुदाय की कमजोरियों की रिपोर्ट करते हैं। सभी रिपोर्टों की सामुदायिक स्वयंसेवकों और हसुरा टीम के एक समूह द्वारा पूरी जाँच की जाती है।
सुरक्षा समस्या की रिपोर्ट करने के लिए, कृपया सभी आवश्यक जानकारी संलग्न करते हुए, हमें सभी विवरणों के साथ build@hasura.io पर ईमेल करें।
- आपको लगता है कि आपने हसुरा ग्रेफ्लिक इंजन या संबंधित घटकों में एक संभावित सुरक्षा भेद्यता की खोज की है।
- आप अनिश्चित हैं कि हसुरा ग्रेफ्लिक्स इंजन को एक भेद्यता कैसे प्रभावित करती है।
- आपको लगता है कि आपने किसी अन्य प्रोजेक्ट में भेद्यता की खोज की है जो हसुरा ग्राफकैल इंजन पर निर्भर करता है (जैसे, हरोकू, डॉकर, आदि)
- आप किसी अन्य सुरक्षा जोखिम की रिपोर्ट करना चाहते हैं जो हसरू ग्राफक्लिअन इंजन उपयोगकर्ताओं को संभावित रूप से नुकसान पहुंचा सकता है।
- सुरक्षा के लिए आपको हसुरा ग्रेफ्लिक इंजन के घटकों की ट्यूनिंग करने में मदद चाहिए।
- आपको सुरक्षा संबंधी अपडेट लागू करने में सहायता की आवश्यकता है।
- आपका मुद्दा सुरक्षा से संबंधित नहीं है।
प्रत्येक रिपोर्ट को परियोजना के अनुचर और सुरक्षा दल द्वारा 3 कार्य दिवसों के भीतर स्वीकार और विश्लेषण किया जाता है।
रिपोर्टर को मुद्दे के विश्लेषण और संकल्प के हर चरण में अद्यतन रखा जाएगा। (ट्राइएज -> ठीक -> प्रकाशन)
एक सार्वजनिक प्रकटीकरण की तारीख को हसुरा उत्पाद सुरक्षा टीम और बग प्रस्तुतकर्ता द्वारा बातचीत की जाती है। उपयोगकर्ता शमन उपलब्ध होने के बाद हम बग का पूरी तरह से खुलासा करना चाहते हैं। जब बग या फिक्स अभी तक पूरी तरह से समझा नहीं गया है, तो समाधान में देरी करना उचित है, समाधान अच्छी तरह से परीक्षण नहीं किया गया है, या विक्रेता समन्वय के लिए। प्रकटीकरण के लिए समय सीमा तत्काल से है (खासकर अगर यह पहले से ही सार्वजनिक रूप से ज्ञात है) कुछ हफ्तों तक। हम आम तौर पर 7 दिनों के क्रम में एक सार्वजनिक प्रकटीकरण की रिपोर्ट के बीच समय-सीमा की अपेक्षा करते हैं। Hasura GraphQL इंजन मेंटेनर और सुरक्षा टीम एक प्रकटीकरण तिथि निर्धारित करने पर अंतिम कॉल लेगी।
(कुछ वर्गों से प्रेरित और अनुकूलित किया गया है https://github.com/kubernetes/website/blob/master/content/en/docs/reference/issues-security/security.md)