安全策略

如何報告潛在的安全漏洞

Spring 整個產品組合中的任何潛在安全漏洞都應透過安全通告頁面報告。

Spring 團隊需要透過 GitHub 的私下報告安全漏洞功能接收潛在安全漏洞的報告。為了簡化流程，使用 spring-projects/security-advisories 倉庫來報告 Spring 產品組合中任何專案（包括其他 GitHub 組織中的專案，例如 Spring Cloud）的潛在漏洞。

檢視安全漏洞

所有安全漏洞都發布在 https://springframework.tw/security/。

報告漏洞的指南

如果您認為發現了安全漏洞，請按照如何報告潛在的安全漏洞中的描述進行報告。下面，您可以檢視漏洞示例和非漏洞示例。

漏洞示例

有關漏洞示例，請參閱https://springframework.tw/security/。

非漏洞示例

不安全的反序列化

Spring 團隊的立場是，要將反序列化視為 Spring 中的漏洞，Spring 必須將來自不受信任的源（即 HTTP 引數）的資料傳遞給以產生 CVE 的方式執行反序列化的方法。之所以採取這種立場，是因為任意型別的反序列化是必要的，但無法使其安全。

Spring 為開發人員提供了必要的工具，但開發人員有責任安全地使用它們。這與其他任何庫或 JDK 本身沒有區別。如果開發人員將來自 HTTP 請求的不受信任的資料傳遞給 ProcessBuilder，那麼這不是 JDK 中的 CVE，而是在錯誤使用了 ProcessBuilder 的應用程式中的 CVE。如果開發人員使用不受信任的資料透過字串拼接來建立 SQL 查詢，這不是 SQL 驅動程式中的 CVE，而是應用程式中沒有使用預編譯 SQL 語句的 CVE。類似地，如果開發人員將不受信任的資料傳遞到反序列化方法中，則需要由開發人員確保這樣做是安全的。

依賴項中的漏洞

Spring 依賴項中的漏洞應報告給相應的專案，而不是 Spring 團隊。

存在漏洞的依賴項版本

無論依賴項是否包含漏洞，Spring 團隊都盡最大努力保持其依賴項更新。但是，當 Spring 定義了存在漏洞的依賴項版本時，我們不將其視為 Spring 中的漏洞，因為開發人員可以覆蓋這些版本，並且為任何傳遞性依賴項釋出版本對於 Spring 產品組合來說將無法管理。

依賴項的開發人員有責任釋出相容的安全修復版本。如果提供了該版本，Spring 專案將在釋出 Spring 專案的下一個版本之前更新到該依賴項版本。

通常，不會為更新依賴項版本進行特殊釋出。相反，Spring 團隊鼓勵開發人員在下一個 Spring 版本釋出之前覆蓋該版本。