安全策略

如何回報潛在的安全漏洞

整個 Spring 系列產品中任何潛在的安全漏洞都應透過安全公告頁面回報。

Spring 團隊需要透過 GitHub 的私下回報安全漏洞功能來接收潛在安全漏洞的回報。為了簡化流程，spring-projects/security-advisories 儲存庫用於回報 Spring 系列產品中任何專案的潛在漏洞（包括其他 GitHub 組織中的專案，例如 Spring Cloud）。

查看安全漏洞

所有安全漏洞都會發佈到 https://spring.dev.org.tw/security/。

回報漏洞指南

如果您認為您發現了安全漏洞，請按照如何回報潛在的安全漏洞中的說明進行回報。以下您可以看到漏洞範例和非漏洞範例。

漏洞範例

如需漏洞範例，請參閱 https://spring.dev.org.tw/security/。

非漏洞範例

不安全的序列化

Spring 團隊的立場是，為了使序列化被視為 Spring 中的漏洞，Spring 必須將來自不受信任來源（即 HTTP 參數）的資料傳遞到以產生 CVE 的方式執行序列化的方法中。此立場的原因是任意類型的序列化是必要的，但無法確保其安全性。

Spring 為開發人員提供必要的工具，但開發人員有責任安全地使用它們。這與任何其他程式庫或 JDK 本身沒有什麼不同。如果開發人員將來自 HTTP 請求的不受信任資料傳遞給 ProcessBuilder，那麼這不是 JDK 中的 CVE，而是錯誤使用 ProcessBuilder 的應用程式中的 CVE。如果開發人員使用不受信任的資料透過字串串連建立 SQL 查詢，那麼這不是 SQL 驅動程式中的 CVE，而是應用程式未使用的預先編譯 SQL 陳述式中的 CVE。同樣地，如果開發人員將不受信任的資料傳遞到序列化方法中，則開發人員需要確保這樣做是安全的。

相依性中的漏洞

Spring 相依性中的漏洞應回報給各自的專案，而不是 Spring 團隊。

易受攻擊的相依性版本

無論相依性是否包含漏洞，Spring 團隊都會盡力保持其相依性的最新狀態。然而，當 Spring 定義易受攻擊的相依性版本時，我們不認為這是 Spring 中的漏洞，因為開發人員可以覆寫這些版本，而且為任何傳遞相依性發佈版本對於 Spring 系列產品來說將變得難以管理。

由相依性的開發人員發佈具有安全修復程式的相容版本。如果這可用，Spring 專案將在發佈下一個 Spring 專案版本之前更新為該相依性版本。

通常，沒有用於更新相依性版本的特殊版本。相反地，Spring 團隊鼓勵開發人員在下一個 Spring 版本發佈之前覆寫版本。