The English version of quarkus.io is the official project site. Translated sites are community supported on a best-effort basis.

セキュリティ

Quarkusのチームとコミュニティは、すべてのセキュリティーバグを非常に深刻に受け止めています。ポリシーとセキュリティー開示に関するQuarkusのガイドラインはこちらをご覧ください。

Quarkusのチームとコミュニティは、すべてのセキュリティーバグを非常に深刻に受け止めています。ポリシーとセキュリティー開示に関するQuarkusのガイドラインはこちらをご覧ください。

セキュリティー問題の報告

Quarkusで見つけたセキュリティー問題を次の場所に報告してください:

security at quarkus.io

このリストには誰でも投稿できます。このリストの購読者は、Quarkusコミュニティの信頼できる個人のみで、報告されたセキュリティー問題の解決を秘密を守って処理します。報告においては、問題を発見したことについてどのようにクレジットされたいか、またエンバーゴ処理を適用したい場合はその詳細を記載してください。現在、以下のディストリビューションのセキュリティー対応チームがこのリストに登録されており、あなたのレポートに対応しています。

エコシステム

Quarkusは、多くのエクステンションと多くのライブラリ(Eclipse Vert.x、Hibernate、Apache Camelなど)からなるエコシステムであり、そのほとんどはQuarkusチームの直接の責任下にはありません。これらのライブラリに根ざしている可能性のあるセキュリティーバグを見つけた場合は、それらのライブラリに直接開示するか、Quarkusチームに開示することが出来(このプロセスに従ってください)、その場合、責任を持ってそれぞれのエクステンションまたはライブラリのメンテナに開示します。

このプロセスに従う理由

セキュリティーバグは機密性が高いため、通常のバグよりも開示プロセスに制約があります。我々は、適切な修正のための時間を与え、攻撃の時間枠を制限する、業界で認められたこれらのガイドラインに従っていただけることに感謝します。

サポートされているバージョン

コミュニティは、https://quarkus.io/get-started/ で公開されている最新の major.minor バージョンのセキュリティーバグを修正します。

Version      Supported
latest 2.x    ✅
older 2.x    ❌
< 2.0           ❌

問題の深刻度やリリースの経過時間によっては、古いバージョンへの脆弱性を修正する場合がありますが、コミットしているのは、リリースされた最新バージョンのみです。

セキュリティー問題への対応

QuarkusのエクステンションやQuarkusのプラットフォームを代表している場合は、security at quarkus.ioのメーリングリストを購読することを歓迎します。あなたの購読は、あなたが問題を秘密を守って処理し、問題を発見した報告者を適切にクレジット出来ると証明できる場合にのみ承認されます(例:エンバーゴ処理の経験)。