Traefik 安全文档

安全

安全公告

我们强烈建议你加入我们的邮件列表，以了解我们安全团队的最新公告。 你可以通过发送电子邮件至 [email protected] 或在 在线查看器 上订阅。

CVE

报告的漏洞可在 cve.mitre.org 上找到。

CVE 仅针对影响 Traefik 正式发布 (GA) 版本 的漏洞创建。 在非 GA 版本（发布候选版、beta 版、早期访问版或开发分支）中发现的漏洞将被修复而不会创建 CVE。

报告漏洞

我们希望让 Traefik 对每个人都安全。 如果你在 Traefik 中发现了安全漏洞， 我们感谢你以负责任的方式向我们披露它， 通过创建一个 security advisory。

漏洞提交行为准则

我们致力于以负责任的方式处理每一个合法报告， 我们期望提交者以尊重和协作的方式与我们的安全团队互动。

以下行为是不可接受的，将不被容忍：

• 威胁 在你单方面设定的时间范围内未修复则公开披露漏洞。
• 最后通牒 或旨在强制比我们的正常 triage 和修复过程允许的更快响应的施压策略。
• 要求 付款、bug 赏金或任何形式的补偿，以换取不披露该问题 （Traefik 不运营付费 bug 赏金计划）。
• 激进、辱骂或不尊重 与我们安全团队的沟通。

从事上述任何行为的提交者可能面临以下后果：

• 提交者将不会在安全公告或任何后续沟通中得到致谢。
• 提交者的 GitHub 个人资料可能被报告给 GitHub 因违反平台服务条款。
• 我们可能拒绝进一步参与 该报告，同时仍然解决底层问题（如果它是合法的）。

我们认真对待安全性，并尽快根据我们的资源处理合法报告。 耐心和建设性的对话有助于我们有效地保护用户。

提交质量指南

我们一直在收到越来越多的低质量漏洞报告，这些报告并不是真正的安全问题。 这些报告中有许多来自 AI/LLM 工具，未经任何人工验证或测试即提交。 这浪费了我们安全团队的时间，并延迟了对合法漏洞的处理。

在提交安全公告之前，你必须：

• 仔细测试和验证 漏洞。你必须能够通过清晰的复现步骤展示有效的工作概念验证。
• 了解漏洞的影响 并解释它如何在现实场景中被利用。
• 验证该问题不是误报。 确保你报告的行为实际上是安全问题，而不是预期行为。

AI 生成报告的政策

直接由 AI/LLM 工具生成而未经适当人工验证的 安全报告将立即关闭。

未经验证的 AI 生成报告的迹象包括（但不限于）：

• 没有工作概念验证或复现步骤。
• 通用或理论上的漏洞描述，没有实际测试的证据。
• 对 Traefik 架构或威胁模型的误解。
• 虚构的代码路径、配置选项或不存在的行为。

反复提交低质量或未经验证的报告的贡献者可能会被阻止账户。

我们感谢那些花时间严格验证其发现的安全研究人员的工作。 质量胜过数量，有助于让 Traefik 对每个人都安全。