Go CNA 策略
概述
Go CNA 是一个CVE 编号授权机构 (CNA),它为 Go 生态系统中的公开漏洞发布CVE ID并发布CVE 记录。它是 Google CNA 的一个子 CNA。
范围
Go CNA 涵盖 Go 项目(Go 标准库和子仓库)中的漏洞,以及其他 CNA 未涵盖的可导入 Go 模块中的公开漏洞。
此范围明确排除用 Go 编写的应用程序或包中的漏洞,这些应用程序或包不可导入(例如,包 main 中的任何内容)。有关排除报告的更多信息,请参阅go.dev/security/vuln/database#excluded-reports。
要报告 Go 项目中潜在的新漏洞,请参阅go.dev/security/policy。
请求公开漏洞的 CVE ID
重要提示:以下链接的表单会在问题跟踪器上创建一个公开问题,因此不得用于报告 Go 中未公开的漏洞(有关报告未公开问题的说明,请参阅我们的安全策略)。
要为 Go 生态系统中现有的公开漏洞请求 CVE ID,请通过此表单提交请求。
如果漏洞已公开披露,或者漏洞存在于您维护的软件包中并且您准备公开披露,则该漏洞被视为公开漏洞。