漏洞回報系統

今天我們宣布推出漏洞回報系統，系統可讓使用者回報並追蹤 Hex 套件裡的安全性漏洞。

使用者可透過套件頁面中提供的表單，提交套件回報。除了應提供漏洞的詳細描述之外，還應附上任何有助於維護人員識別和解決漏洞的資訊。此外，還提供了受影響的版本欄位，因此使用者可指定受漏洞影響的版本範圍。

回報提交後，將會在內部發布回報並啟動審查程序。一群管理員將會審查並接受或拒絕回報，回報接受後將會通知套件所有者。在發布漏洞修復程式後，回報將予以公開，並會標示受影響的套件版本。在初始回報與公開揭露之間，管理員將會與回報者和維護人員合作，確保問題能快速且正確地解決。

回報系統建構在套件棄用機制之上。在執行 mix deps.get 和 mix hex.audit 時，系統會通知使用者有哪些套件存在漏洞，使你可以在持續整合期間檢查漏洞。

我們也將提供 API，使外部工具和基礎架構（例如 Dependabot）可以利用我們的漏洞資料庫。此外，我們計畫與其他漏洞資料庫，例如 CVE 整合，讓使用者可以獲悉其使用的 Hex 套件中的漏洞，不論漏洞回報的來源為何。

最初的一組管理員將會是 Hex 核心團隊，但我們希望有機會納入對 BEAM 生態系統中的資訊安全和漏洞有經驗的安全性專家，讓我們可以正確識別有效的安全性回報，並提供支援給維護人員，以修正問題。

漏洞回報系統已 併入 hex，但目前仍然隱藏在功能標記之中，以便我們在內部測試並找出最後的難題。

非常感謝 羅易斯·索托·洛佩茲，他以 Google 2020 年夏季程式碼專案的一環，開發了此功能。