Chummy
2.1 KiB
2.1 KiB
私密漏洞报告模板(中文)
通过以下方式进行私密漏洞提交时,请使用本模板:
Security->Report a vulnerability- 仓库 Security Advisory 草稿
请将以下结构复制到私密报告中填写。
1)摘要
- 简短标题:
- 漏洞类型(例如:RCE、认证绕过、权限提升、SSRF、路径穿越、密钥泄露):
- 受影响组件:
- 预估严重级别(S0 / S1 / S2 / S3):
级别参考:
- 请参照
SECURITY.md中的Severity Levels and SLA Matrix判定严重级别。
2)影响范围
- 受影响版本:
- 最后一个确认不受影响版本:
- 触发前提(部署/运行环境):
- 必需的特性开关或配置条件:
3)复现信息
- 环境信息:
- 操作系统:
- 运行时/工具链版本:
- 关键配置:
- 复现步骤: 1. 2. 3.
- PoC 载荷/命令(请最小化且安全化):
- 预期行为:
- 实际行为:
4)安全影响评估
- 对机密性(Confidentiality)的影响:
- 对完整性(Integrity)的影响:
- 对可用性(Availability)的影响:
- 攻击复杂度与所需权限:
- 远程/本地可达性:
- 预计影响面(blast radius):
可选 CVSS 估算(如果已知):
- CVSS 向量:
- CVSS 分值:
5)缓解与修复建议
- 立即缓解措施/临时规避方案:
- 建议修复方向:
- 向后兼容风险:
6)披露协同
- 是否请求协同披露(yes/no):
- 希望的最早披露时间(如有):
- 署名/致谢偏好:
- 后续沟通联系方式:
7)附件
- 日志(已脱敏):
- 堆栈信息(已脱敏):
- 截图/录屏(如适用):
- Patch/提交引用(如已具备):
8)报告前检查
- 我没有为该未修复漏洞创建公开 issue。
- 我已移除密钥、令牌与个人敏感信息。
- 我提供了可复现步骤与影响说明。
- 我提供了版本或影响范围信息。
脱敏说明
提交前请删除或替换:
- API Key、Token、凭据
- 内部主机名、IP、私有 URL
- 可识别个人身份的数据
- 对维护者复现并非必要的攻击细节