<div dir="ltr">Wanted to bring up an idea for OSGeo projects around the responsible disclosure of security vulnerabilities.<div><br></div><div>I have some working notes in a blog post <a href="http://blog.geoserver.org/2015/06/27/geoserver-xee-vulnerability/">here</a> that will be making their way into the geoserver developers guide and website:</div><div><br></div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><font face="arial, helvetica, sans-serif"><b>Responsible Disclosure</b></font> </blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><font face="arial, helvetica, sans-serif"><br>If you encounter a security vulnerability in GeoServer, or any other open source software, please take care to report the issue in a responsible fashion:<br><ul><li><span style="color:rgb(38,37,35)">Keep exploit details out of issue report (send to developer/PSC privately – just like you would do for sensitive sample data)</span><br></li><li><span style="color:rgb(38,37,35)">Be prepared to work with Project Steering Committee (PSC) members on a solution</span><br></li><li><span style="color:rgb(38,37,35)">Keep in mind PSC members are volunteers and an extensive fix may require fundraising / resources</span><br></li></ul></font><font face="arial, helvetica, sans-serif">If you are not in position to communicate in public (or make use of the issue tracker) please consider <a href="http://geoserver.org/support/" style="margin:0px;padding:0px;border:0px;color:rgb(0,118,161);outline-style:none!important">commercial support</a>, contacting a <a href="http://docs.geoserver.org/latest/en/developer/policies/psc.html#current-psc" style="margin:0px;padding:0px;border:0px;color:rgb(0,118,161);outline-style:none!important">PSC member</a> privately or contacting us via the Open Source Geospatial Foundation at <a href="mailto:info@osgeo.org" style="margin:0px;padding:0px;border:0px;color:rgb(0,118,161);outline-style:none!important">info@osgeo.org</a>.</font></blockquote></div><div><br></div><div>While I would hope some of the above is common sense, please consider your projects guidelines (perhaps something like the above would be appropriate).</div><div><br></div><div>Aside: I have taken the liberty of using <a href="mailto:info@osgeo.org">info@osgeo.org</a> as a contact point for the GeoServer PSC as it is a public email address suitable for communication. In the past Jeff (or others) have been kind enough to make an appropriate introduction to a member of the GeoServer PSC.</div><div><br></div><div>Any feedback/discussion welcome.<br><div><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>--</div><div>Jody Garnett</div></div></div></div></div></div>
</div></div></div>