Цели команды безопасности

• Работа с сообщениями о проблемах с безопасностью.
• Просмотр кода на предмет возможных уязвимостей.
• Осуществление поддержки разработчиков дополнительных модулей по вопросам безопасности.
• Создание документации по написанию безопасного кода.

Как сообщить о проблеме безопасности

Если вы обнаружите или узнаете о потенциальной ошибке, уязвимости или угрозе которая могла бы поставить под вопрос безопасность Drupal, пожалуйста, отправьте ваше сообщение по почте команде безопасности: security@drupal.org. Сделайте детальное описание проблемы, версии Drupal, используемых модулях, версиях этих модулей и так далее.

Если вам требуется зашифровать ваше сообщение, используйте ключ OpenPGP: 0xA1FDFAC2.

Как мы работаем с полученными сообщениями

• Делаем обзор проблемы и оцениваем потенциальное воздействие на все поддерживаемые выпуски Drupal.
• Если это действительно серьёзная проблема, команда безопасности мобилизуется чтобы устранить её.
• Создаются новые версии и затем тестируются.
• Создаются новые пакеты и загружаются на drupal.org.
• Мы используем все доступные каналы связи, чтобы сделать известным то, что проблема безопасности была найдена и устранена, и какие меры должны быть приняты администраторами сайтов, чтобы защитить себя.

Политика информирования о проблеме

Наша политика — полное раскрытие информации; мы никогда не будем умалчивать информацию о проблемах с безопасностью и надеяться на то, что это не будет обнаружено другими. Однако общественные объявления будут сделаны тогда, когда угроза будет устранена и будет доступна безопасная версия системы. Мы просим вас, сообщая о проблеме с безопасностью, пожалуйста, руководствуйтесь изложенными здесь принципами и после того как проинформируете команду безопасности, не сообщайте о проблеме публично.

Какие версии поддерживаются?

• Не все старые версии Drupal активно поддерживаются, только текущая и предыдущая (например, 5.x и 4.7.x). Версии Drupal, которые активно не поддерживаются, не будут получать выпуски безопасности. Поэтому не рекомендуется использовать неподдерживаемые версии. Пожалуйста, перейдите на новые версии, чтобы вы могли извлечь пользу из выпусков безопасности.
• Свежие разработки (dev, bata, RC) Drupal не могут безопасно использоваться, если проблемы безопасности установлены, но обновления ещё не выпущены. Если вы используете такие версии для тестирования или оценки, мы предполагаем, что вы обновляете ваш код регулярно.
• Команда безопасности наблюдает за безопасностью страндартной сборки Drupal. Ответственность за безопасность дополнительных модулей лежит на разработчиках этих модулей. Смотрите информацию об этом ниже.

Проблемы с дополнительными модулями

Как только мы узнаём о проблеме безопасности с дополнительным модулем, мы отправляем сообщение об этом разработчику модуля с крайним сроком ответа на запрос. Как только этот разработчик установит проблему, команда безопасности проконсультирует его, как обновить модуль. Однако если разработчик не устранит проблему в крайний срок, мы опубликуем информацию и уберём модуль с drupal.org.

Чем вы можете помочь?

Самая важная помощь, которую вы можете оказать — сделать обзор предложенных исправлений безопасности. Вы можете также помочь сообщив о проблеме и работая вместе с командой над её устранением.