脆弱性をLinux Foundationに報告する方法

Linux Foundation (LF) では、ファウンデーションやプロジェクトの活動を通じて安全なソフトウェアを開発し、また開発で使用するインフラストラクチャの安全性確保にも取り組んでいます。しかし、私たちは人間であり、ミスが起きる可能性があります。

このため、もし私たちの仕事の中に脆弱性を発見した場合は、報告してください。

LFが主催するファウンデーションやプロジェクトのいづれかにより開発されたソフトウェアに脆弱性を見つけた場合は、開発元に直接報告してください。たとえば、Linuxカーネルの脆弱性はセキュリティバグに記載のとおり <security@kernel.org> に報告する必要があります。もしファウンデーションやプロジェクトが脆弱性の報告方法を明記していない場合は、明記するように依頼してください。多くの場合、脆弱性を報告する方法として <security@ドメイン名> へのメール送信が挙げられます。

LFのインフラストラクチャ全体に関する脆弱性を見つけた場合は、コンタクトページに記載の <security@linuxfoundation.org> に報告してください。

たとえば、セキュリティ研究者Hanno Böck氏は、終了したlinuxfoundation.orgサービス サブドメインの一部が複数のクラウドサービスに委任されたままになっており、サブドメインの乗っ取りの危険性があることを警告しました。この警告を受けてすぐにLF IT運用チームは問題に対処し、今後同様の問題を監視・通知する方法にも取り組んでいます。Hanno氏の警告に感謝します。

また、オープンソースソフトウェア (OSS) 全般の安全性を高めるための取り組みも行っています。Open Source Security Foundation (OpenSSF) は、私たち全員が依存するOSSを保護するための幅広いイニシアチブです。 詳細についてはOpenSSFをご覧ください

David A. Wheeler

Director, Open Source Supply Chain Security, The Linux Foundation

The Linux Foundation
Follow Us