漏洞管理

报告漏洞

如安全政策中所述，安全漏洞可以通过 GitHub 私下报告给项目。

漏洞管理团队

一旦漏洞被报告给项目，漏洞管理团队（VMT）将负责管理该漏洞。VMT 的职责包括：

• 对漏洞进行分类。
• 与报告者和项目维护者协调漏洞分析和解决方案。
• 为已确认的漏洞起草安全公告（如适用）。
• 与项目维护者协调修复和安全公告的发布。

安全公告

公告通过 GitHub 发布，使用与报告漏洞相同的系统。有关该过程的更多信息，请参阅 GitHub 文档。

团队成员

我们更倾向于将所有与漏洞相关的沟通保留在 GitHub 的安全报告中。然而，如果您需要为紧急问题直接联系 VMT，您可以联系以下个人：

• Simon Mo - simon.mo@hey.com
• Russell Bryant - rbryant@redhat.com

Slack 讨论

您可以在 vLLM Slack 的 #security 频道中讨论与安全相关的话题。然而，请不要在此频道中披露任何漏洞。如果您需要报告漏洞，请使用 GitHub 安全公告系统或私下联系 VMT 成员。

漏洞披露

漏洞披露的过程如下：

• VMT 将与项目维护者合作开发漏洞修复方案。
• VMT 将与报告者和项目维护者协调，准备一份充分描述漏洞及其影响的安全公告。
• VMT 将与项目维护者协调发布修复程序，并发布包含该修复程序的更新。
• VMT 将在 GitHub 上发布安全公告。发布说明将更新以包含对安全公告的引用。

VMT 及项目维护者将努力缩短披露任何有关漏洞的公开信息与发布修复程序及公告之间的时间。