安全策略

如何報告潛在安全漏洞

Spring 整個產品組合中任何潛在的安全漏洞都應透過安全諮詢頁面進行報告。

Spring 團隊需要透過 GitHub 的私密報告安全漏洞功能接收潛在安全漏洞的報告。為了簡化流程，spring-projects/security-advisories 儲存庫用於報告 Spring 產品組合中任何專案（包括其他 GitHub 組織中的專案，如 Spring Cloud）的潛在漏洞。

檢視安全漏洞

所有安全漏洞都會發布到 https://springframework.tw/security/。

報告漏洞的準則

如果您認為自己發現了安全漏洞，請按照如何報告潛在安全漏洞中所述進行報告。下面您可以看到漏洞示例和非漏洞示例。

漏洞示例

有關漏洞的示例，請參閱 https://springframework.tw/security/。

非漏洞示例

不安全的反序列化

Spring 團隊的立場是，為了使反序列化在 Spring 中被視為漏洞，Spring 必須以產生 CVE 的方式，將來自不受信任源（即 HTTP 引數）的資料傳遞給執行反序列化的方法。這種立場的原因是，任意型別的反序列化是必要的，但無法保證其安全性。

Spring 為開發者提供了必要的工具，但開發者有責任安全地使用它們。這與其他任何庫或 JDK 本身並沒有什麼不同。如果開發者將來自 HTTP 請求的不受信任資料傳遞給 ProcessBuilder，那麼這不是 JDK 的 CVE，而是應用程式錯誤使用 ProcessBuilder 造成的。如果開發者使用不受信任的資料透過字串拼接建立 SQL 查詢，這不是 SQL 驅動程式的 CVE，而是應用程式未正確使用預編譯 SQL 語句造成的。同樣，如果開發者將不受信任的資料傳遞給反序列化方法，則開發者需要確保這樣做是安全的。

依賴項中的漏洞

Spring 依賴項中的漏洞應報告給相應的專案，而不是 Spring 團隊。

易受攻擊的依賴版本

Spring 團隊會盡力保持其依賴項的最新狀態，無論依賴項是否包含漏洞。但是，當 Spring 定義了一個易受攻擊的依賴版本時，我們不認為這是 Spring 中的漏洞，因為開發者可以覆蓋這些版本，而且為任何傳遞依賴項釋出版本對於 Spring 產品組合來說將變得難以管理。

依賴項的開發者有責任釋出一個包含安全修復的相容版本。如果此版本可用，Spring 專案將在釋出 Spring 專案的下一個版本之前更新到該依賴版本。

通常，沒有專門用於更新依賴項版本的釋出。相反，Spring 團隊鼓勵開發者在下一個 Spring 釋出之前覆蓋版本。