1. 概要

处理安全问题有两个方面：一个是安全问题在项目中进行报告和修复的过程，另一个是公众如何了解问题以及可用的补救措施。

PSR 9 解决了前者， 而后者，则由 PSR 10 则处理

因此，PSR 10 的目标是定义如何向公众披露安全问题，以及此类披露应遵循何种格式

2. 何必 ?

截止目前为止，这一过程的大部分内容都没有共同的标准

关于研究人员如何找到处理任何特定项目的安全问题的过程并没有一个公开的标准，也没有标准向研究人员解释如果他们报告了一个漏洞，他们可能会发生什么

更重要的是，没有一个项目能够可以建立最适合他们的安全报告流程的标准

3. 内容

3.1 目标

• 定义如何报告漏洞，如何修复漏洞并最终向公众披露的流程

3.2 非目标

• 减少安全漏洞的方法
• 发布安全问题和并修复 ( 可以参考 PSR 10 )

4. 过程

目前最可想的办法似乎是定义基本的工作流程，以确定安全漏洞如何从发现到修复到公开披露

可以从下面这个安全公开流程列表中的各种 PHP 和非 PHP 项目中获得灵感

• http://symfony.com/doc/current/contributing/code/security.html
• http://framework.zend.com/security/
• http://www.yiiframework.com/security/
• https://www.drupal.org/security
• http://codex.wordpress.org/FAQ_Security
• http://www.sugarcrm.com/page/sugarcrm-security-policy/en
• http://typo3.org/teams/security/
• http://cakephp.org/development
• http://www.concrete5.org/developers/security/
• http://developer.joomla.org/security.html
• http://wiki.horde.org/SecurityManagement
• http://www.revive-adserver.com/support/bugs/
• http://magento.com/security
• http://www.apache.org/security/committers.html
• https://www.mozilla.org/en-US/about/governance/policies/security-group/bugs/
• http://www.openbsd.org/security.html

如果你想查看这些链接差异和相似之处的总结，可以访问 https://groups.google.com/d/msg/php-fig-psr-9-discussion/puGV_X0bj_M/Jr_IAS40StsJ

5. 参与人员

5.1 撰稿者

• Michael Hess

5.2 发起者

• Larry Garfield (Drupal)
• Korvin Szanto (concrete5)

5.3 协调员

• Larry Garfield (Drupal)

5.4 贡献者

• Lukas Kahwe Smith

6. 表决

7. 相关链接