SECURITY.md

   1 # Arvados Project Security Policy
   2
   3 ## Supported Versions
   4
   5 The Arvados project will issue security fixes by making point releases
   6 on the current stable release series (X.Y.0, X.Y.1, X.Y.2, etc).
   7
   8 The most recent stable release version, along with release notes and
   9 upgrade notes documenting security fixes, can be found at these
  10 locations:
  11
  12 https://arvados.org/releases/
  13
  14 https://doc.arvados.org/admin/upgrading.html
  15
  16 The Arvados project does not support versions older than the current
  17 stable release except by special arrangement (contact info@curii.com).
  18
  19 Release announcements, including notification of security fixes, are
  20 sent to the Arvados announcement list:
  21
  22 https://lists.arvados.org//mailman/listinfo/arvados
  23
  24 ## Reporting Security Issues
  25
  26 If you believe you have found a security vulnerability in any Arvados-owned repository, please report it to us through coordinated disclosure.
  27
  28 **Please do not report security vulnerabilities through public GitHub issues, discussions, or pull requests.**
  29
  30 Instead, please send an email to dev@curii.com.
  31
  32 Please include as much of the information listed below as you can to help us better understand and resolve the issue:
  33
  34   * The type of issue (e.g., remote code execution, SQL injection, or cross-site scripting)
  35   * Full paths of source file(s) related to the manifestation of the issue
  36   * The location of the affected source code (tag/branch/commit or direct URL)
  37   * Any special configuration required to reproduce the issue
  38   * Step-by-step instructions to reproduce the issue
  39   * Proof-of-concept or exploit code (if possible)
  40   * Impact of the issue, including how an attacker might exploit the issue
  41
  42 This information will help us triage your report more quickly.