Conseils sur le signalement et l’écriture des informations sur les vulnérabilités

La divulgation des vulnérabilités est un effort coordonné entre les rapporteurs de sécurité et les personnes chargées de la maintenance des dépôts.

Quand vous créez ou modifiez des avis de sécurité, les informations fournies sont mieux compréhensibles pour les autres utilisateurs si vous spécifiez l’écosystème, le nom du package et les versions affectées en utilisant les formats standard.

Certains dépôts publics configurent des avis de sécurité afin que tout le monde puisse signaler les failles de sécurité directement et en privé aux chargés de maintenance.

Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée.