Problemas de seguridad

Este documento explica cómo maneja el equipo del núcleo de Symfony los problemas de seguridad (Symfony es el código alojado en el repositorio Git principal symfony/symfony).

Informando un problema de seguridad

Si crees que has encontrado un problema de seguridad en Symfony, no utilices la lista de correo o el rastreador de fallos y no lo divulgues públicamente. En su lugar, todos los problemas de seguridad se tienen que enviar a security arroba symfony.com. Los correos electrónicos enviados a esta dirección se reenvían a la lista de correo privado del equipo del núcleo.

Proceso de resolución

Para cada informe, en primer lugar, trata de confirmar la vulnerabilidad. Cuando esté confirmada, el equipo del núcleo trabaja en una solución siguiendo estos pasos:

  1. Envía un reconocimiento al informante;
  2. Trabaja en un parche;
  3. Obtiene un identificador CVE (por «Common Vulnerabilities and Exposures») de cve.mitre.org;
  4. Escribe un anuncio de seguridad para el blog oficial de Symfony sobre la vulnerabilidad. Este comunicado debería contener la siguiente información:
    • Un título que siempre incluya la cadena «Security release»;
    • Una descripción de la vulnerabilidad;
    • Las versiones afectadas;
    • La posible explotación;
    • Cómo afecta el parche/actualización/solución del problema a las aplicaciones;
    • El identificador CVE;
    • Créditos.
  5. Envia el parche y anuncio al reportero para revisión;
  6. Aplica el parche en todas las versiones mantenidas de Symfony;
  7. Empaca las nuevas versiones para todas las versiones afectadas;
  8. Publica un comunicado en el blog oficial de Symfony (también se tiene que añadir a la categoría «Avisos de seguridad»);
  9. Actualiza la lista de avisos de seguridad (ve abajo).

Nota

Versiones que incluyen problemas de seguridad no se tendrían que hacer en sábado o domingo, excepto si la vulnerabilidad se difundió públicamente.

Nota

Mientras estemos trabajando en un parche, por favor, no reveles el tema públicamente.

Bifúrcame en GitHub