Security Policy - 1. 责任
1.1 由谁负责?
每个 Fink 软件包都有一个维护人。可以在命令行输入 fink info packagename
命令来查询到这个维护人。这会返回一系列信息,其中一段类似:
Maintainer: Fink
Core Group
<fink-core@lists.sourceforge.net>。维护者对他/她的软件包负有全部责任。
1.2 我应该联系谁?
如果你发现某个软件包存在安全性问题,你应该通知该软件包的维护者以及 Fink 核心团队。维护者的电子又见可以在软件包信息里面找到,而 Fink 核心团队 的是 fink-core@lists.sourceforge.net
1.3 预通知
我们要求你对于 Fink 的严重安全性问题需要预先通知软件包的维护者。由于不一定能在固定的事件内联系到维护者,预通知同时也应该提交到 Fink 安全团队。该团队的每个成员的电子邮件地址会在本文档的稍后地方列出。请注意 fink-core@lists.sourceforge.net 是一个公开的邮件列表,内部性的预通知绝对不能发送到这个列表中。
1.4 回应
关于安全性问题所提交的报告会由 Fink 核心团队进行回应。每个维护者都被要求自行回复处理被报告的问题。在不太常见的情况下,如果找不到维护者或维护者不能在 24 小时之内回复,应该向 Fink 核心团队 发送信息通知他们维护者似乎没有回应。
如果你尝试通知维护者但是却被邮件系统退信,你应该立即通知 Fink 核心团队联系不到维护者这样软件包可以不经过维护者而得到更新。
Next: 2. 响应时间和立即行动。