安全

发现 RubyGems 或 RubyGems.org 的安全问题？请按照以下步骤报告。

报告安全问题

在继续之前，请确保这是一个针对 RubyGems 客户端或 RubyGems.org 服务的安全问题。对于所有涉及单个宝石的漏洞，请遵循我们的指南，报告其他宝石的安全问题。如果是 Ruby on Rails 框架的安全问题，请参阅 Rails 安全指南。

对于 RubyGems 客户端或 RubyGems.org 服务的任何安全漏洞或问题，请发送电子邮件至 [email protected]，提供有关问题的详细信息，或使用 HackerOne 提交报告。 RubyGems 客户端库属于赏金奖励范围。您可以在 RubyGems HackerOne 页面上阅读赏金计划的详细信息。

如果您发现被破坏或恶意宝石，请将其视为安全问题：请发送电子邮件至 [email protected]，提供宝石名称或使用 HackerOne 提交报告。请注意，这不在赏金奖励范围之内。

请注意： rubygems-developers 邮件列表、 rubygems.org 邮件列表和 #rubygems IRC 频道都是公开区域。如果将问题升级到这些地方，请不要讨论您的问题，只需说您正在尝试联系安全团队的成员。感谢您提前负责任地披露您的安全问题。

报告 RubyGems.org 网站问题

如果您在推送宝石时遇到问题，或者需要有关您的 RubyGems.org 帐户的帮助，请打开新的帮助问题.

对于 RubyGems.org 的错误或其他问题，请使用 RubyGems.org 问题跟踪器打开新的问题。

披露政策

RubyGems 和 RubyGems.org 遵循 5 步披露政策

收到安全报告并分配给主要处理者。此人将协调修复和发布过程。
确认问题，并确定所有受影响的版本。审核代码以查找任何潜在的类似问题。
为所有仍受支持的版本准备修复程序。这些修复程序不会提交到公共存储库，而是保存在本地，待公告发布。
选择此漏洞的建议禁运日期。
在禁运日期， rubygems-developers 邮件列表将收到公告。这将包括所有仍在支持的版本的补丁。更改被推送到公共存储库，并将新的宝石发布到 rubygems。在邮件列表收到通知后至少 6 小时，将发布一份咨询公告的副本到 RubyGems.org 博客上。

此过程可能需要一些时间，尤其是在需要与其他项目的维护者协调时。将尽一切努力以最及时的方式处理错误，但是重要的是我们遵循上述发布流程，以确保以一致的方式处理披露。

接收安全更新

接收所有安全公告的最佳方法是订阅 rubygems-developers 邮件列表.

在解除禁运之前，核心团队或初始报告者以外的任何人都不会收到通知。对于流量大或重要的网站，我们很抱歉不能对此政策做出例外，因为除协调修复所需的最低限度披露之外的任何披露都可能导致漏洞提前泄露。

关于此政策的意见

如果您有任何改进此政策的建议，请发送电子邮件至 [email protected] 或在 GitHub 上打开问题。谢谢！