PSR 9 项目安全问题公示 - 说明文档 「被拒绝」
1. 概要
处理安全问题有两个方面:一个是安全问题在项目中进行报告和修复的过程,另一个是公众如何了解问题以及可用的补救措施。
PSR 9 解决了前者, 而后者,则由 PSR 10 则处理
因此,PSR 10 的目标是定义如何向公众披露安全问题,以及此类披露应遵循何种格式
特别是在当下,PHP 开发人员比以往更多地跨项目共享代码,这个 PSR 旨在缓解所有依赖项中的安全问题概述以及解决这些问题所需的步骤
2. 何必 ?
最终的用户都希望确保它们随时了解安全问题,以此同时,也希望能够快速的检查他们是否受到影响以便能够采取必要的措施
上游的开发者也希望知道这些细节,也希望知道是否有可能将他们纳入可能的闭门会议。然后再公开有关安全问题的详细信息
3. 内容
3.1 目标
- 帮助 ( 半 ) 自动化发现和修复已知有安全问题的项目中受影响的代码
3.2 非目标
- 如何报告和修复漏洞的过程
- 减少安全漏洞的方法
4. 过程
这里的一个关键点是信息流应尽可能的结构化,以便于尽可能的实现自动化。例如,漏洞应该以规范化的位置和格式发布,你可以从这篇文章中获得灵感 1
也就是说,标准不应该依赖项目之上的任何权威部门,这是为了确保没有任何项目依赖于外部权威机构来处理像安全相关主题那样敏感的内容。由于定义的位置和格式,其它人可以围绕此信息构建集中式工具
参与人员
5.1 编撰者
- Michael Hess
5.2 发起者
- Larry Garfield (Drupal)
- Korvin Szanto (concrete5)
5.3 协调者
- Korvin Szanto (concrete5)
5.4 贡献者
- Lukas Kahwe Smith