<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix">On 7/29/2021 11:20 AM, Even Rouault
      wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:7db51f2f-f7ee-c684-f529-f697e74d87f7@spatialys.com">I've
      created <a class="moz-txt-link-freetext"
        href="https://github.com/OSGeo/gdal/pull/4152"
        moz-do-not-send="true">https://github.com/OSGeo/gdal/pull/4152</a>
      with a SECURITY.md that largely uses Kurt's proposal.
      <br>
      <br>
      Even
    </blockquote>
    <br>
    I've read the security.md file and maybe I'm running a little slow
    today, but I still don't understand how I would go about reporting a
    serious security bug and what will happen afterwards. <br>
    Let's say I find a really serious vulnerability, something that
    might let me erase your file system, or perhaps to run some code as
    root. It seems irresponsible to provide any level of detail about
    this in a public issue tracker beyond saying "contact me, I've found
    a major vulnerability". I realize this is a real problem for the
    development team because you don't know if I've really found
    something or I'm a troll out to waste your time. On the flip side,
    posting "the string xxx in a file read by driver yyy will allow me
    to do <horrible thing>" in a public issue tracker is just
    asking for trouble. <br>
    <br>
    How am I supposed to proceed and what response can I reasonably
    expect?<br>
    <br>
    On the plus side for a public issue tracker, if I'm a developer on a
    system that relies on gdal (eg, QGIS), I can easily keep tabs on
    reported issues. <br>
  </body>
</html>