漏洞报告系统

今天，我们宣布了漏洞报告系统，该系统将允许用户报告和跟踪 Hex 软件包的安全性漏洞。

用户可以通过软件包页面访问的表单提交软件包报告。应提供漏洞的详细说明以及任何可能帮助维护人员识别和解决漏洞的信息。还提供了受影响的发行版字段，以便用户可以指定受漏洞影响的发行版范围。

报告提交后，将内部发布，并开始审查过程。一组审核员将审查并接受或拒绝报告，接受报告后，将通知软件包所有者有关该报告的信息。在发布了漏洞的修复程序后，该报告将公开发布，受影响的软件包版本将被标记为包含漏洞。在初始报告和公开披露之间的过程中，审核员将与报告者和维护人员合作，确保问题能够快速而正确地解决。

该报告系统基于软件包退休，以便在运行 mix deps.get 和 mix hex.audit 时向用户通知漏洞软件包，以便您可以在持续集成期间检查漏洞。

我们还将提供一个 API，以便外部工具和基础设施（例如 Dependabot）可以使用我们的漏洞数据库。此外，我们计划与其他漏洞数据库（例如 CVE）集成，以便用户可以了解他们使用的 Hex 软件包中存在的漏洞，无论漏洞在何处报告。

最初的审核员团队将是 Hex 核心团队，但我们希望能够将具有信息安全和 BEAM 生态系统漏洞经验的安全专业人员纳入其中，以便我们能够正确识别有效的安全报告并为维护人员提供支持来解决问题。

漏洞报告系统已 合并到 hex 中，但目前隐藏在功能标志后面，以便我们可以在内部进行测试并解决最终的错误。

感谢 Lois Soto Lopez，她在 2020 年的 Google Summer of Code 中开发了此功能。