Skip to content

Мета-документ раскрытия информации о безопасности

1. Краткое описание

Работа с вопросами безопасности имеет два аспекта: один — это процесс, посредством которого проблемы безопасности сообщаются и устраняются в проектах, другой — то, как широкая общественность информируется о проблемах и доступных способах их устранения. В то время как PSR-9 касается первого, данный PSR, то есть PSR-10, рассматривает второй. Таким образом, цель PSR-10 — определить, как проблемы безопасности раскрываются публично и какому формату должны следовать такие раскрытия. Особенно сегодня, когда PHP-разработчики обмениваются кодом между проектами более активно, чем когда-либо, данный PSR призван упростить задачу отслеживания проблем безопасности во всех зависимостях и шагов, необходимых для их устранения.

2. Зачем это нужно?

Конечные пользователи хотят быть уверены, что они остаются в курсе проблем безопасности. Однако они также хотят иметь возможность быстро проверить, затронуты ли они, чтобы предпринять необходимые шаги.

Вышестоящие потребители кода также будут хотеть знать эти подробности. Кроме того, они захотят знать, возможно ли их включение в возможные закрытые обсуждения до того, как подробности о проблеме безопасности станут публичными.

3. Область применения

3.1 Цели

  • Средства для содействия (полу-)автоматизации обнаружения и устранения известных проблем безопасности в проектах, использующих затронутый код

3.2 Не входит в область применения

  • Процесс сообщения и устранения уязвимостей
  • Методы снижения уязвимостей безопасности

4. Подходы

Ключевым аспектом здесь является то, что поток информации должен быть как можно более структурированным, чтобы обеспечить максимально возможную автоматизацию. Например, уязвимости должны публиковаться в определённом месте и в определённом формате. Вдохновение можно почерпнуть из 1.

При этом стандарт не должен опираться на какой-либо центральный орган, стоящий выше проектов. Это необходимо для того, чтобы ни один проект не оказался зависим от внешнего органа в столь чувствительной теме, как безопасность. Однако благодаря определённым местам хранения и форматам станет возможным для других людей создавать централизованные инструменты на основе этой информации.

5. Участники

5.1 Редактор

  • Michael Hess

5.2 Спонсоры

  • Larry Garfield (Drupal)
  • Korvin Szanto (concrete5)

5.3 Координатор

  • Korvin Szanto (concrete5)

5.4 Участники

  • Lukas Kahwe Smith

6. Голосования

7. Ссылки по теме

Начальное обсуждение: https://groups.google.com/d/msg/php-fig/45AIj5bPHJ4/ThERB43j-u8J Обсуждение: https://groups.google.com/forum/#!forum/php-fig-psr-9-discussion