Zabbix安全原则
Zabbix在开发新版本的软件时遵循严格的流程,都是根据 Zabbix生命周期和发布原则。所有任务都要遵守Zabbix的严格标准:
- 所有Zabbix开发人员都遵守项目 编码指南
- 所有代码在合并到Zabbix代码库之前都要经过高级开发人员的审查
- 所有任务都由质量保证工程师测试
- 当一个主要的Zabbix版本发布时,它将通过Zabbix安全团队的内部安全审计。
尽管开发过程旨在消除任何安全问题的可能性,但仍有可能发现新的漏洞。Zabbix将维护版本中的安全问题视为高优先级的问题。请注意,Zabbix不会修复不再受支持的版本中的安全问题。如果需要,这是 按小时收费的定制开发。
公开原则
在Zabbix中,我们使用“责任公开”一词,我们有一项关于如何公开我们所有安全问题的政策,但只有在问题得到解决并且所有签订了支持合同的客户都有时间升级或修补其安装之后。
我们恳请您在报告安全问题时,遵循相同的指导原则,并仅与Zabbix安全团队共享详细信息。
在报告问题之前
确保您提交的问题与服务器配置、第三方脚本和实用程序无关。为了避免任何可能的服务器配置问题,我们建议Zabbix用户阅读 Zabbix安装的最佳实践。.
如何报告安全问题?
创建一个新问题 在公共故障跟踪器的Zabbix Security Reports(ZBXSEC)部分中。
以下信息将有助于Zabbix安全团队:
- 确定安全问题的日期和时间。
- 受影响的Zabbix版本范围。
- 报告的安全问题类型,例如:XSS、CSRF、SQLi、RCE。
- 受影响的组件,例如:前端、Server、Agent、API。
- 您可以提供的任何详细信息,例如屏幕截图、屏幕录制、http(s)日志、POC exploits(请不要通过未经验证的共享服务文件来共享任何东西,并避免共享敏感信息,如果Zabbix安全团队认为这个问题不符合安全缺陷描述,它可能被移到ZBX项目中,并且这个问题对所有用户都是可见的)。
- 由于问题可能不易识别,因此请按照分步说明重新生成问题。
Zabbix如何处理报告的安全问题
- Zabbix安全团队会审查这个问题并评估它的潜在影响。
- 如果发现安全问题与安全无关,则该问题将移至ZBX项目。
- Zabbix安全团队致力于解决这个问题,并在Zabbix的下一个版本发布之前保留关于这个问题的所有细节。
- 新软件包已创建,点击链接下载 https://zabbix.com/download
- Zabbix请求 CVE标识 安全问题。
- 向具有有效支持协议的客户发送电子邮件,在问题公布前给予客户一定的时间进行升级调整。
- 面向社区发布公告。
Public Zabbix bug bounty program on HackerOne
Zabbix has partnered with HackerOne to open a public bug bounty program, where ethical hackers can look for potential security vulnerabilities and get rewarded for found and validated issues. Zabbix public bug bounty program enables hackers to contribute to the security of the product by discovering potential security vulnerabilities in different Zabbix components, such as Zabbix frontend, server, proxy, agent, API and other Zabbix processes. The program offers up to $3,000 as a reward for discovering and reporting a bug. More information can be found in the Zabbix bug bounty page: https://hackerone.com/zabbix