W3C 标准漏洞披露与处理流程和政策

W3C 小组说明草案

关于本文档的更多详细信息
此版本:
https://www.w3.org/TR/2026/DNOTE-security-disclosure-20260630/
最新发布版本:
https://www.w3.org/TR/security-disclosure/
最新编辑草案:
https://w3c.github.io/security-disclosure/
历史:
https://www.w3.org/standards/history/security-disclosure/
提交历史
编辑:
Simone Onofri (W3C)
Luca Lumini (受邀专家)
前任编辑:
Philippe Le Hegaret (W3C)
反馈:
GitHub w3c/security-disclosure (拉取请求, 新议题, 开放议题)
仓库
我们在 GitHub 上。
提交 bug。
提交历史。
邮件列表
public-security-disclosure@w3.org

摘要

本文档定义了如何报告 W3C 标准和 规范(技术报告)中疑似存在的安全漏洞,以便问题能够通过 适当的 W3C 流程进行分流、确认和解决。
它不适用于报告软件实现或 W3C 运营基础设施中的漏洞(见范围之外)。

本文档状态

本节描述本文档在发布时的状态。当前 W3C 出版物列表以及本技术报告的最新修订版可在 W3C 标准和草案 索引中找到。

本文档是进行中的工作,可能随时更改,恕不另行通知。

本文档由安全兴趣 小组作为 小组说明草案使用 说明 轨道发布。

小组说明草案未获 W3C 或其成员认可。

这是一份草案文档,可能随时被其他文档更新、替换或废弃。除作为 进行中的工作外,不宜引用本文档。

W3C 专利 政策 不对本文档附带任何许可要求或承诺。

本文档受 2025 年 8 月 18 日 W3C 流程文档管辖。

1. 引言

1.1 概述

万维网联盟(W3C)认识到,W3C 标准和 规范中可能存在一些安全问题。W3C 感谢研究人员对我们的工作给予 反馈,因为这对于保持 Web 安全至关重要。如果你在 W3C 规范中发现了安全问题,你的帮助非常重要。

1.2 目的

本政策的目的是描述 W3C 标准的漏洞披露流程如何运作。

2. 范围和适用

W3C 是一个标准制定组织,发布 技术报告,包括 W3C 推荐标准、 说明和注册表,这些文档描述 Web 技术和规范。尽管这些文档可能包含 偶尔的引用或示例源代码,W3C 并不 构建或维护其标准的实现。

因此,本政策适用于 W3C 规范中描述的设计漏洞或安全问题

本政策涵盖:

3. 流程和政策

W3C 感谢研究人员对其 工作所作的评论。W3C 的回应将取决于 问题所在的技术报告类型、问题的严重性以及 解决方案的复杂性。 W3C 将尽力尽快解决和纠正安全问题。它遵循的流程基于 ISO/IEC 29147(漏洞披露 - VD)和 ISO/IEC 30111(漏洞 处理 - VH)的推荐步骤。

W3C 根据报告安全问题的文档类型和 成熟度来处理并路由报告。

3.1 报告 W3C 标准中的漏洞

如果你认为自己在 W3C 文档中发现了漏洞,请联系 standards-vulnerability@w3.org 以进行 协调 披露。

此电子邮件是由 W3C 团队和相关小组组成的、被指定用于协调 漏洞披露与处理的小组进行评估和采取行动的参考点。

建议使用 PGP 密钥向 standards-vulnerability@w3.org 发送加密消息。此 电子邮件 没有公开归档。

为促进流程,你的安全通报应包括 ISO/IEC 29147 和 NIST SP 800-216 推荐的详细信息,例如:

请注意:

3.2 安全问题的接收 与确认(VD)

一旦收到,安全问题将在 3 个工作日内得到确认,并与报告者建立 沟通渠道。

3.3 安全问题的 验证(VH)

在确认之后,将评估安全问题,以确定其有效性、技术 关键性、 重要性和潜在影响。

W3C 将力求验证问题的有效性并在 15 个工作日内通知报告者。如果 需要更多信息来验证安全问题,W3C 将向来源请求更多详细信息。

安全通报将根据其所指文档的类型进行处理。

3.4 处理和 解决方案制定(VH)

W3C 随后将与报告者以及受安全问题影响的小组 合作,这将 主要涉及更新相关文档。

3.4.1 W3C 推荐标准 - 已发布

这些是已经完成并经过社区审阅的标准。

  • 如果制定该推荐标准的工作组仍然活跃,该 工作组 负责确定处理它的最合适方法。如果确认, 漏洞 可能通过以下方式处理:

    • 勘误(用于不改变规范性内容的小问题或更正)。 W3C 工作组 必须保留公开的错误记录,记录为推荐标准报告的错误, 汇总频率不得 低于每季度一次。
    • 更新后的推荐标准规范文档(修订推荐标准)。
    • 用于处理该问题的全新文档。
  • 如果工作组已关闭W3C 团队负责 确定 处理该问题的最合适方法。问题的严重性将决定 后续步骤:

    • 轻微问题可以用勘误覆盖(如果没有小组被授权, 可能由 W3C 团队维护)。
    • 对于更重大的更新,W3C 团队可能会推动不同的方法。

根据 W3C 流程,第 3 类或第 4 类变更可能触发 更广泛的审查和专利政策影响。

该问题将在 GitHub 上的安全问题功能中处理。

3.4.2 候选推荐标准(CR)和工作草案(WD)- 制定中

这些是已被 W3C 工作组采纳、 但尚未最终确定的文档。

  • W3C 工作组应及时正式处理关于 技术报告的任何实质性审阅意见。

该问题将在相关工作组邮件列表或 GitHub 上的安全问题 功能中处理。

3.4.3 编辑草案 - 早期阶段/个人贡献

这些不是 W3C 中正式采纳的文档。 尚未作为 W3C 规范发布的编辑草案没有官方地位。

  • 该问题应与文档编辑一起处理和讨论
  • 尽管未被正式采纳,该问题也可以在相关工作组 邮件 列表或 GitHub 上的安全问题功能中讨论。

该问题将在相关工作组邮件列表或 GitHub 上的安全问题 功能中处理。

3.4.4 已停止、过时或已撤销的文档

  • 被标记为已停止、过时或已撤销的 W3C 技术报告 不太可能 针对其采取行动来回应安全问题报告。尽管如此,团队 仍应评估 是否在文档状态(SOTD)中列出这些问题。

该问题将在 GitHub 上的安全问题功能中处理。

3.4.5 社区小组报告

这些不是 W3C 中正式采纳的文档, 并且由社区和业务小组 流程规范 它们

  • 发现的任何问题都应与文档编辑一起处理和讨论

该问题将在相关社区小组邮件列表或 GitHub 上的安全 问题 功能中处理。

3.4.6 成员提交

这些不是 W3C 中正式采纳的文档。 成员提交是由成员提出以供考虑的文档。

  • 发现的任何问题都应与文档编辑一起处理和讨论

该问题将根据该成员的政策处理。

3.5 发布和传播(VD)

一旦更新已经可用,并且已经留出足够时间来实施 相关技术的更新和 发布,W3C 鼓励共享 并公开披露已修复 漏洞的信息,包括对漏洞的描述、允许用户 识别 受影响标准的信息、影响、严重性,以及帮助 实现者和 用户补救的清晰、可访问的信息。在某些情况下,如果发布的安全风险超过安全收益, 披露可能会 推迟到实现者和用户有机会应用相关 对策之后。

W3C 欢迎在漏洞 已解决后披露你的报告的请求,并力求协调 公开发布。如果报告者希望获得公开认可,W3C 将致谢其报告 该漏洞,前提是报告者希望被公开署名。

A. 致谢

本文档基于 IETF 报告 协议漏洞W3C 安全披露 最佳实践。多位个人为本文档作出了贡献。编辑特别感谢 Philippe Le Hegaret、Ian Jacobs 和 François Daoust。