20272: Remove "optional" from label to encourage people to add a description.
[arvados.git] / SECURITY.md
1 # Arvados Project Security Policy
2
3 ## Supported Versions
4
5 The Arvados project will issue security fixes by making point releases
6 on the current stable release series (X.Y.0, X.Y.1, X.Y.2, etc).
7
8 The most recent stable release version, along with release notes and
9 upgrade notes documenting security fixes, can be found at these
10 locations:
11
12 https://arvados.org/releases/
13
14 https://doc.arvados.org/admin/upgrading.html
15
16 The Arvados project does not support versions older than the current
17 stable release except by special arrangement (contact info@curii.com).
18
19 Release announcements, including notification of security fixes, are
20 sent to the Arvados announcement list:
21
22 https://lists.arvados.org//mailman/listinfo/arvados
23
24 ## Reporting Security Issues
25
26 If you believe you have found a security vulnerability in any Arvados-owned repository, please report it to us through coordinated disclosure.
27
28 **Please do not report security vulnerabilities through public GitHub issues, discussions, or pull requests.**
29
30 Instead, please send an email to dev@curii.com.
31
32 Please include as much of the information listed below as you can to help us better understand and resolve the issue:
33
34   * The type of issue (e.g., remote code execution, SQL injection, or cross-site scripting)
35   * Full paths of source file(s) related to the manifestation of the issue
36   * The location of the affected source code (tag/branch/commit or direct URL)
37   * Any special configuration required to reproduce the issue
38   * Step-by-step instructions to reproduce the issue
39   * Proof-of-concept or exploit code (if possible)
40   * Impact of the issue, including how an attacker might exploit the issue
41
42 This information will help us triage your report more quickly.