一、总则

1、责任主体

openKylin 社区高度重视系统安全，由 SecurityGovernance SIG（安全治理兴趣小组）统一负责漏洞接收、研判、修复、披露与公告发布，保障 openkylin 操作系统版本全生命周期安全。

2、适用范围

本规范适用于 openKylin 社区发布的所有操作系统版本及其组件、软件包，涵盖社区自研软件以及引入的第三方开源组件。所有参与 openKylin 社区开发、测试、运营和维护的成员，以及向社区报告安全漏洞的外部研究人员和用户，均应按本规范执行。

3、漏洞分级标准

openKylin 社区采用通用的安全漏洞分级标准，基于漏洞的影响范围、利用难度和潜在危害等因素，将安全漏洞划分为以下四个等级：

二、漏洞管理机构与职责

1、Security Governance SIG

openKylin 安全治理兴趣小组（Security Governance SIG）是社区安全漏洞管理的核心机构，其主要职责包括：

• 接收和响应 openKylin 社区的产品安全问题报告
• 组织和协调安全漏洞的验证、分析、评估和修复工作
• 对外发布安全漏洞公告和修复建议
• 提供社区安全指导，开展安全治理活动，提升社区产品的安全性
• 维护和完善社区安全响应基础设施

SIG 的使命是为 openKylin 用户提供最安全的产品和安全性保障。

2、开放麒麟安全应急响应中心

开放麒麟安全应急响应中心（OSRC）是由 SecurityCommittee SIG 组建设、广大社区成员共同贡献的开源操作系统安全漏洞发布、响应、处理和发布的平台。平台涵盖上报漏洞的全生命周期管理，致力于拓宽漏洞发现渠道，增强面对未知信息安全风险的能力。

3、Security 兴趣小组

Security SIG 负责在 openKylin 社区版本中已有或未来规划的安全技术，提供系统安全工具、库、基础设施等，提升系统的安全性。该 SIG 与 Security Governance SIG 密切协作，共同保障社区产品的安全。

三、漏洞上报流程

1、上报途径

安全研究人员、开发者及用户发现 openKylin 操作系统中可能存在的安全漏洞时，应通过以下指定渠道向 openKylin 社区报告：

官方接收邮箱：security@openkylin.top

该邮箱由 Security SIG 负责管理，用于接收 openKylin 社区版本相关的安全技术问题和漏洞报告。Security Governance SIG 通过该邮箱接收和响应社区的产品安全问题报告，并提供社区安全指导。

2、上报要求

为保证漏洞报告的准确性和可追溯性，上报人应尽量提供以下信息：

• 受影响的产品版本和软件包：明确说明受漏洞影响的 openKylin 操作系统版本、软件包名称及版本号
• 漏洞详细描述：清晰描述漏洞的具体表现和触发条件
• 漏洞复现步骤：详细说明可复现漏洞的操作步骤
• 漏洞影响评估：说明漏洞可能导致的危害（如信息泄露、权限提升、拒绝服务等）
• 相关技术细节：如有必要，可附上日志截图、代码片段或 PoC（Proof of Concept）
• 联系方式：提供便于后续沟通的联系方式

3、上报纪律

上报人应遵守以下基本原则：

• 未经 openKylin 社区授权，不得将发现的漏洞信息提前对外披露
• 禁止利用发现的漏洞进行任何形式的攻击或破坏行为
• 禁止以发现安全漏洞为由，对 openKylin 社区及相关人员进行敲诈、勒索或提出不合理要求
• 遵循善意原则，以保护用户安全为首要目标

四、漏洞处理流程

1、接收与确认

• security@openkylin.top 邮箱收到漏洞报告后，Security SIG 将在 10 个工作日内向报告人发送确认回执
• 漏洞报告将被录入 openKylin 安全应急响应中心（OSRC）的漏洞管理平台，进入全生命周期管理流程
• 安全响应团队对报告内容进行初步筛查，判断是否为真实漏洞，以及是否属于 openKylin 社区负责的范围

2、分析与评估

• 安全响应团队组织相关 SIG 或软件包维护者对漏洞进行深入分析
• 根据漏洞的影响范围、利用难度和潜在危害，依据分级标准进行评估定级
• 评估漏洞是否已存在于公开渠道（如 CVE 数据库），并协调申请 CVE 编号（如尚未分配）

3、修复与验证

• 漏洞确认后，指定对应软件包的维护者或 SIG 负责人负责修复工作
• 修复工作包括但不限于：补丁开发、代码审查、安全测试和回归测试
• 漏洞修复完成后，安全响应团队对修复方案进行验证，确保漏洞已被有效修复且未引入新的安全问题

4、补丁发布与披露

• 修复验证通过后，补丁通过 openKylin 软件仓库的正式更新渠道发布
• 安全响应团队在 openKylin 社区官网发布安全漏洞公告（格式如 OKSA-202605-0001），公告内容包括漏洞描述、影响范围、修复方案和解决方案
• 漏洞公告同时抄送国家信息安全漏洞共享平台（CNVD）等相关机构
• 如有 CVE 编号，在公告中同步标明
• 向报告人反馈漏洞处理结果，并对报告人在征得同意后进行公开致谢

5、补丁获取

用户可通过以下方式获取安全补丁：

• 使用 openKylin 软件包管理工具进行系统更新：sudo apt update && sudo apt upgrade
• 访问 openKylin 社区官网安全中心页面（https://www.openkylin.top/support/patch-cn.html）查看和下载安全公告及补丁
• 关注 openKylin 社区邮件列表发布的安全公告

五、漏洞全生命周期管理

openKylin 社区依托安全应急响应中心（OSRC），实现漏洞的全生命周期管理。漏洞生命周期包括以下阶段：

1. 发现与报告：漏洞的发现、核实和上报
2. 分类与定级：漏洞的鉴定、评估和分级
3. 修复与验证：补丁开发和修复验证
4. 披露与发布：安全公告发布和补丁推送
5. 跟踪与关闭：修复效果跟踪和漏洞关闭

此外，社区积极推进可控开源体系建设，对于引入的开源组件，通过合规检查、安全漏洞扫描、静态代码分析、动态代码分析等技术手段，确保引入社区的开源组件代码来源清晰、透明、安全。

六、安全响应流程

1、事件分级响应

openKylin 社区根据漏洞等级采取差异化的响应时效：

2、突发事件响应

对于已公开或已在野外被利用的 0-day 漏洞，openKylin 社区启动应急响应机制：

• 立即组织安全团队进行分析和影响评估
• 在 24 小时内发布临时缓解措施或规避方案
• 优先调配资源进行补丁开发
• 对外保持透明沟通，定期通报处置进展

七、漏洞披露原则

1、负责任披露

openKylin 社区遵循负责任披露原则，在漏洞修复完成并发布补丁后，方可对外公开漏洞细节。对于尚未修复的漏洞，除非已在公开渠道泄露或被大规模利用，否则不予公开披露。

2、安全公告格式

openKylin 安全漏洞公告遵循以下格式：

• 公告ID：OKSA-202605-0001（OKSA 即 openKylin Security Advisory）
• 描述：漏洞的基本描述和影响说明
• 安全级别：严重/高危/中危/低危
• 受影响软件包：受影响软件包的名称和版本
• 修复版本：已修复的软件包版本号
• CVE 编号：如有则标明
• 参考链接：相关的 CVE 公告或上游说明链接
• 状态：已修复 / 处理中 / 待修复

3、致谢机制

openKylin 社区对所有负责任地上报安全漏洞的研究人员和开发者表示感谢，并在征得同意的情况下，在安全公告中公开致谢。

八、奖励机制

为鼓励安全研究人员积极参与 openKylin 社区安全建设，社区设立漏洞奖励计划：

• 根据漏洞等级和报告质量，向符合条件的报告人颁发荣誉证书或社区纪念品
• 对表现突出的安全研究人员，邀请加入 Security SIG 参与社区安全工作

奖励细则由 Security Governance SIG 另行制定并向社区公示

九、联系方式

安全漏洞上报邮箱

security@openkylin.top

该邮箱是 openKylin 社区安全漏洞接收和响应的官方专用渠道。

相关资源

openKylin 社区官网：https://www.openkylin.top

安全漏洞公告页面：https://www.openkylin.top/support/patch-cn.html

Security Governance 兴趣组邮件列表：securitygovernance@lists.openkylin.top

Security Governance 兴趣组列表所有者：securitygovernance-owner@lists.openkylin.top

十、附则

1. 本规范由 openKylin 社区 Security Governance SIG 负责解释和修订。

2. 本规范自发布之日起生效。

3. openKylin 社区保留根据实际情况对规范进行调整的权利，调整内容将及时通过社区官网和邮件列表公示。

4. 本规范的制定参考了行业通用的安全漏洞管理实践，结合 openKylin 社区可控开源体系的实际建设情况。

版本信息：本规范当前版本为 v1.0，如有疑问或建议，欢迎通过 security@openkylin.top 与我们联系。