ASF安全团队¶

Apache安全团队就安全问题指导Apache项目并协调处理所有安全漏洞。团队是涵盖所有Apache项目的CVE编号机构（CNA）唯一能够为Apache Software Foundation项目分配ID的组问题。每个项目都会发布咨询意见，可以通过这个项目咨询.

报告漏洞¶

我们强烈建议您将潜在的安全漏洞报告给首先是我们的私人安全邮件列表，然后在公共论坛。

A类Apache项目的安全联系人列表是可用。如果您找不到特定于项目的安全电子邮件地址，并且您需要报告、使用一个未公开的安全漏洞下面的一般安全地址。

仅使用安全联系人报告Apache项目和管理修复此类漏洞的过程。我们不能接受这些地址上的常规错误报告或其他安全相关查询。我们将忽略发送到这些地址的邮件，这些邮件与未公开的Apache项目中的安全问题。

还要注意，安全团队处理Apache项目中的漏洞，未运行ASF服务。发送ASF中的漏洞报告服务到root@apache.org（这包括apache.org网站的问题）

一般安全邮件列表地址为：security@apache.org。这是私人邮件列表。

请针对您报告的每个漏洞发送一封未加密的纯文本电子邮件。我们可以如果您以图像、电影、HTML或PDF附件，您可以轻松地用纯文本描述它。

漏洞信息¶

您通常可以在项目的网页上找到Apache项目的已知漏洞信息。为方便起见，请参阅列表，共个Apache项目的安全信息页面。如果您在项目的网站，就项目的用户邮件列表。做不直接询问安全联系人：

• 如何安全地配置包

• 发布的漏洞是否适用于特定版本的Apache您正在使用的包

• 发布的漏洞是否适用于Apache的配置您正在使用的包

• 获取有关已发布漏洞的更多信息

• 针对已发布的脆弱性

相关项目的用户list是提出此类问题的地方。Apache安全团队和任何项目安全团队将忽略您直接发送给他们的任何此类问题。

漏洞处理¶

漏洞处理过程概述如下：

• 该记者私下向Apache报告了该漏洞。

• 相应项目的安全团队与记者私下合作以解决漏洞。

• 该项目创建了该漏洞影响的包的新版本，以交付其修复。

• 该项目公开宣布了漏洞并描述了如何应用修复程序。

提交人应阅读更详细的过程描述。安全漏洞的报告者也可能会发现它很有用。

讨论¶

鼓励委员会和安全研究人员加入我们的社区讨论列表.