The English version of quarkus.io is the official project site. Translated sites are community supported on a best-effort basis.

Security

The Quarkus team and community take all security bugs very seriously. You can find our guidelines here regarding our policy and security disclosure.

Quarkusのチームとコミュニティは、すべてのセキュリティーバグを非常に深刻に受け止めています。ポリシーとセキュリティー開示に関するQuarkusのガイドラインはこちらをご覧ください。

Do NOT report security vulnerabilities in our public bug tracker. Follow the instructions given in this page.

セキュリティー問題の報告

Quarkusで見つけたセキュリティー問題を次の場所に報告してください:

security at quarkus.io

このリストには誰でも投稿できます。このリストの購読者は、Quarkusコミュニティの信頼できる個人のみで、報告されたセキュリティー問題の解決を秘密を守って処理します。報告においては、問題を発見したことについてどのようにクレジットされたいか、またエンバーゴ処理を適用したい場合はその詳細を記載してください。現在、以下のディストリビューションのセキュリティー対応チームがこのリストに登録されており、あなたのレポートに対応しています。

エコシステム

Quarkusは、多くのエクステンションと多くのライブラリ(Eclipse Vert.x、Hibernate、Apache Camelなど)からなるエコシステムであり、そのほとんどはQuarkusチームの直接の責任下にはありません。これらのライブラリに根ざしている可能性のあるセキュリティーバグを見つけた場合は、それらのライブラリに直接開示するか、Quarkusチームに開示することが出来(このプロセスに従ってください)、その場合、責任を持ってそれぞれのエクステンションまたはライブラリのメンテナに開示します。

このプロセスに従う理由

セキュリティーバグは機密性が高いため、通常のバグよりも開示プロセスに制約があります。我々は、適切な修正のための時間を与え、攻撃の時間枠を制限する、業界で認められたこれらのガイドラインに従っていただけることに感謝します。

サポートされているバージョン

コミュニティは、https://quarkus.io/get-started/ で公開されている最新の major.minor バージョンのセキュリティーバグを修正します。

バージョン Supported

Latest 3.x

3.2 LTS

Older 3.x

< 3.0

We may fix the vulnerability to older versions depending on the severity of the issue and the age of the release, but we are only committing to the versions mentioned above as supported.

セキュリティー問題への対応

If you represent a Quarkus extension or a Quarkus platform, you are welcome to subscribe to the security at quarkus.io mailing list. Your subscription will only be approved if you can demonstrate that you will handle issues in confidence and properly credit reporters for discovering issues (e.g. experience with embargo process).