DMTF 安全问题报告流程

以下是 DMTF 中安全响应过程的摘要。 如果您有任何有关DMTF标准(https://www.dmtf.org/standards)或DMTF开源实现(https://github.com/DMTF)中的安全问题或漏洞的信息,请立即向我们报告。 DMTF 的安全响应任务组 (SRTF) 受权协调 DMTF 已发布工件中所有报告的安全漏洞的管理和响应。

报告安全问题

请通过 DMTF 反馈门户.

按顺序报告安全问题或漏洞为了帮助及时识别问题,请提供以下所需信息在文件表格(txt,rtf,docx首选) 作为提交内容的附件

  •  Finder's email
  •  包含技术详细信息的漏洞描述,包括如何重现利用和利用的后果。
  •  受影响的标准及其版本
  •  受影响的参考代码及其分支版本
  •  受影响的生产和生产版本

DMTF 收到报告后,SRTF 管理员将确认您的电子邮件,并可能通过安全电子邮件与您联系以获取更多信息。 所有通信都将使用 PGP 电子邮件加密进行。

处理安全问题

旦安全问题已通过反馈门户提交,并且 SRTF 管理部门已确认收到,漏洞处理活动将分以下阶段进行:

  • Triage - 确定范围, 严重性、影响等
  • Mitigation - 创建修复程序。
  • Embargo - 让生产部门在发布之前应用修复程序。
  • 披露 - 发布缓解措施。


DMTF SRTF 将与安全专家协调,以及领域专家审查问题,然后尽快提供并发布缓解措施。
时间表取决于许多因素,包括但不限于: 问题复杂性, 影响范围、涉及的组件和生产阶段。

通常,软件漏洞的禁运时间很短,而固件或硬件漏洞的禁运时间较长,因为组件更新过程存在差异。

在公开披露缓解措施之前, 缓解措施将发布到 DMTF 安全公告 github 存储库(https://github.com/DMTF/SecurityAnnouncement)。 如果您的公司在生产中使用 DMTF 标准或 DMTF 参考代码,您可以注册以获取缓解信息,并在披露之前采用它。 加入安全公告存储库需要公司电子邮件地址。

发布安全公告

在禁运阶段之后,DMTF 将通过公共安全公告披露缓解措施,包括以下信息:

  • 公开数据
  • 脆弱性记录 - [CVE](https://cve.mitre.org/)
  • 严重性评分 - [CVSS](https://www.first.org/cvss/)
  • 漏洞的详细信息
  • 迁移 - 规范更新和/或参考代码补丁
  • 确认

DMTF 标准的建议将包含在创作机构的公共页面上。
DMTF 参考代码的咨询将包含在每个参考代码 github repository.