在本页面
如果您认为自己已发现MongoDB产品中的漏洞或经历了与MongoDB产品相关的安全事件,请报告此问题以帮助其解决。
要报告问题,我们强烈建议您在JIRA 的SECURITY项目中提交票证 。MongoDB,Inc在48小时内响应漏洞通知。
所有漏洞报告应包含尽可能多的信息,以便MongoDB的开发人员可以迅速采取行动以解决该问题。特别是,请包括以下内容:
尽管JIRA是首选的报告方法,但是您也可以通过电子邮件将漏洞报告给security @ mongodb 。com。
您可以使用位于https://docs.mongodb.com/10gen-security-gpg-key.asc的 MongoDB的公钥对电子邮件进行加密 。
MongoDB,Inc.对通过电子邮件发送的漏洞报告进行响应,该响应报告的响应电子邮件包含已发布到SECURITY项目的JIRA票证的参考号。
MongoDB,Inc.验证所有提交的漏洞,并使用Jira跟踪有关漏洞的所有通信,包括澄清请求或其他信息。如果需要,MongoDB代表会召开电话会议以交换有关该漏洞的信息。
MongoDB,Inc.要求您在有机会分析漏洞,响应通知并通知关键用户,客户和合作伙伴之前,不要公开披露有关该漏洞的任何信息或利用此问题。
验证报告的漏洞所需的时间取决于问题的复杂性和严重性。MongoDB,Inc.非常认真地对待所有必需的漏洞,并将始终确保与报告者的通信渠道畅通无阻。
验证问题后,MongoDB,Inc.以双方同意的时间范围和格式协调与报告者的问题公开披露。如果需要或要求,漏洞的报告者将在已发布的安全公告中获得信用。