Sicherheit
Diese Seite dokumentiert die Sicherheitsrichtlinie für den AIMO Standard, einschließlich Schwachstellenmeldung und Offenlegungsverfahren.
Geltungsbereich
Im Geltungsbereich
- Validator-Referenzimplementierung (
validator/) - Build- und Release-Tooling (
tooling/) - JSON-Schemas (
schemas/) - Dokumentations-Website-Infrastruktur
Außerhalb des Geltungsbereichs
- Spezifikationsinhalt (normativer Text ist kein Sicherheitsartefakt)
- Anwenderimplementierungen, die den AIMO Standard verwenden
- Externe Abhängigkeiten (an Upstream-Maintainer melden)
Unterstützte Versionen
| Version | Unterstützt |
|---|---|
| latest (dev) | Ja |
| Getaggte Releases (vX.Y.Z) | Ja (neueste 2 Minor-Versionen) |
| Ältere Releases | Nein (Upgrade empfohlen) |
Eine Schwachstelle melden
Eröffnen Sie kein öffentliches GitHub-Issue für Sicherheitsschwachstellen.
Prozess
- Privat über GitHubs private Schwachstellenmeldung melden
- Enthalten: Beschreibung, Reproduktionsschritte, betroffene Versionen, Auswirkung
- Zeit für Bewertung und Fix-Entwicklung einräumen
Zeitplan
| Phase | Zeitplan |
|---|---|
| Bestätigung | 72 Stunden |
| Erstbewertung | 7 Tage |
| Koordinierte Offenlegung | maximal 90 Tage |
Offenlegungsrichtlinie
- Schwachstellen werden privat gemeldet
- Fixes werden vor öffentlicher Offenlegung entwickelt
- Sicherheitshinweise werden veröffentlicht, nachdem Fixes verfügbar sind
- Melder werden genannt (außer bei Wunsch nach Anonymität)
Sicherheitsmaßnahmen
- CI/CD-Prüfungen bei allen Änderungen
- Signierte Releases mit SHA-256-Prüfsummen
- Obligatorische PR-Überprüfung vor Merge
Vollständige Richtlinie
Siehe SECURITY.md für die vollständige Sicherheitsrichtlinie.
Verwandte Seiten
- Trust Package — Prüfungsbereite Materialien
- Governance — Projekt-Governance