创建漏洞报告
在本页面
如果您认为自己已发现 MongoDB 产品中的漏洞或经历了与 MongoDB 产品相关的安全事件,请报告此问题以帮助其解决。
要报告问题,我们强烈建议您在 JIRA 的SECURITY项目中提交票证。 MongoDB,Inc 在 48 小时内响应漏洞通知。
在 JIRA 中创建报告
JIRA Security项目中的提交工单。票证编号将成为其发行期内的参考标识。您可以将此标识符用于跟踪目的。
要提供的信息
所有漏洞报告都应包含尽可能多的信息,以便 MongoDB 的开发人员可以迅速采取行动以解决该问题。特别是,请包括以下内容:
-
产品名称。
-
常见漏洞信息,如果适用,包括:
-
CVSS(通用漏洞评分系统)得分。
-
CVE(常见漏洞和披露)标识。
-
联系信息,包括电子邮件地址和/或电话 Numbers(如果适用)。
通过电子邮件发送报告
尽管 JIRA 是首选的报告方法,但是您也可以通过电子邮件将漏洞报告给security@mongodb.com。
您可以使用 MongoDB 的公用密钥https://docs.mongodb.com/10gen-security-gpg-key.asc对电子邮件进行加密。
MongoDB,Inc.对通过电子邮件发送的漏洞报告做出响应,其中包含包含发布到SECURITY项目的 JIRA 票证的参考号的响应电子邮件。
评估漏洞报告
MongoDB,Inc.验证所有提交的漏洞,并使用 Jira 跟踪有关漏洞的所有通信,包括澄清请求或其他信息。如果需要,MongoDB 代表会召开电话会议以交换有关该漏洞的信息。
Disclosure
MongoDB,Inc.要求您不要公开*有关该漏洞的任何信息或利用该问题,直到它有机会分析该漏洞,响应通知并通知关键用户,Client 和合作伙伴为止。
验证报告的漏洞所需的时间取决于问题的复杂性和严重性。 MongoDB,Inc.非常重视所有必需的漏洞,并将始终确保与报告者之间存在清晰而开放的通信 Channel。
验证问题后,MongoDB,Inc.以双方同意的时间范围和格式协调与报告者的问题公开披露。如果需要或要求,漏洞的报告者将在已发布的安全公告中获得信用。