已弃用：请参阅 最佳实践：在 Erlang/OTP 中报告安全问题

在 Erlang/OTP 中报告安全问题

请遵循本文档来报告 Erlang/OTP 中有关安全的问题。请不要为安全问题创建公开的 issue。

何时应该报告安全问题？#

风险级别通常由被利用后造成的影响和发生利用的可能性两者乘积决定。换句话说，如果一个漏洞可能造成巨大损害，但需要最高权限才能利用该漏洞，那么该漏洞就不是高风险的。同样，如果该漏洞很容易被利用，但其影响有限，那么它也不是高风险问题。

对于一个漏洞是否值得作为安全问题报告给 erlang-security [at] erlang [dot] org，并没有严格的规定。一般来说，如果某人没有访问 Erlang 应用程序或其系统的权限，却能影响保密性、完整性和可用性，那么就应该报告。

报告后会发生什么？ #

Erlang/OTP 发行版中的所有安全漏洞都应该报告给 erlang-security [at] erlang [dot] org。您的报告将由 OTP 团队的一个小型安全团队处理。一旦我们开始处理该问题，我们将尽快确认收到您的电子邮件。

请为您的报告使用描述性的电子邮件标题。在对您的报告进行初步回复后，安全团队会及时向您通报关于修复和发布公告的进展和决定。

将现有 Issue 标记为安全相关 #

如果您认为在 bugs.erlang.org 上的现有公开 issue 与安全相关，我们要求您发送电子邮件至 erlang-security [at] erlang [dot] org。电子邮件标题应包含 bugs.erlang.org 上的 issue ID（例如，标记安全问题 ERL-001）。请包含简短的描述，说明为何应根据安全策略进行处理。