# 安全问题响应工作组工作制度及运作方式 [English](./README_en.md) | 简体中文 为提升OpenHarmony社区对安全问题的快速响应和处理,OpenHarmony社区成立安全问题响应工作组。 ## 工作职责 + 协助修复漏洞:确保及时修复已知漏洞。帮助用户系统在成为攻击受害者之前进行漏洞修复,包括提供相关漏洞检测和修复工具。 + 处理安全问题:响应上报的安全问题,跟踪安全问题的处理进展,并遵循安全问题披露策略对安全问题在社区内进行披露和公告。 + 参与代码审核:通过代码审核帮助团队提前发现代码中的漏洞。 + 漏洞奖励计划的评审和对违反漏洞奖励计划规则的奖项收回评审。 + 维护漏洞评审记录及致谢成员名单。 ## 成员 安全问题响应工作组由OpenHarmony项目群A类捐赠人单位中有相关领域丰富经验并愿意致力于OpenHarmony社区安全响应处理工作的人员组成,当前成员如下: + [zhangadong(组长)](https://gitee.com/zhangadong) + [zhangyun](https://gitee.com/zhangyun761) + [yangna](https://gitee.com/xiaoyang1210) 安全响应工作组设组长一名,组长经组员投票选举产生,每届任期两年,可连选连任。成员任期两年,可连选连任。新加入成员由现有成员采取普通事项决议。现有成员的罢免采取特殊事项决议。 安全问题响应工作组采取组长负责制,组长负责主持开展组内的日常工作。成员应遵守本制度及OpenHarmony项目群相关制度的规定,勤勉尽职。对违反规定的成员,本工作组有权予以罢免。 ## 会议机制 - 安全问题响应工作组会议参会法定人数为过半数成员参加会议。普通事项决议以参会成员过半数通过为原则;特殊事项决议以全体成员2/3以上通过为原则。 - 安全问题响应工作组召开会议需由过半数成员出席。根据工作需要,组长、副组长或三名以上成员均可发起不定期工作组会议。 - 安全问题响应工作组的特殊事项包括如下方面: - 修改本制度 - 罢免成员 - 漏洞奖励评审及对违反漏洞奖励计划规则的奖项收回评审 - 其他重要事项 ## 联系安全问题响应工作组 为了获得最佳和最快的响应请使用以下联系方式: | 清单或群组 | 简介 | 用途说明 | | -------------------------------------- | ------- | ------------------------------------------------------------ | | scy@openharmony.io | 安全问题邮箱 | 开发者可反馈OpenHarmony安全问题到此邮箱。邮件内容请使用[公钥](/publicKey/Scy-OpenHarmony_publickey.asc)进行加密。 | | scy-priv@openharmony.io | 安全组邮件列表| 安全组成员安全问题处理讨论邮件列表,安全组成员可订阅。 | | security@openharmony.io | 安全公告邮件列表 | 开发者通过[订阅](https://lists.openatom.io/postorius/lists/security.openharmony.io)此邮件列表可获取到最新的安全问题公告。 | ## 报告安全问题 安全问题响应工作组鼓励社区参与者共建OpenHarmony的社区安全性,如您发现OpenHarmony社区存在潜在的安全问题,请访问[OpenHarmony安全漏洞奖励计划](/zh/security-process/rewards_program.md)上报。 ## 安全漏洞处理 安全问题响应工作组会安排专员对安全漏洞进行跟踪和处理,想了解更多关于OpenHarmony社区的安全问题处理流程和策略,请参考[安全漏洞处理](/zh/security-process/README.md)。 ## 安全漏洞披露 了解OpenHarmony社区的已公开披露的安全漏洞,请访问[安全公告](/zh/security-process/security-disclosure.md)。 ## 受限披露列表 该列表用于向OpenHarmony的发行商提供安全相关可操作的信息,请参考[受限披露列表](/zh/security-process/private-distributors-list.md)。 ## 社区讨论和支持 通过[社区页面](https://gitee.com/openharmony)可以了解更多OpenHarmony的详细知识以及如何在OpenHarmony社区做安全互动。 ## 致谢 了解对OpenHarmony社区安全性做出贡献的个人和团队,请访问[致谢](/zh/security-process/Acknowledgements.md)。