Go CNA 政策
概览
Go CNA 是一个 CVE 编号分配机构 (CNA),负责发布 Go 生态系统中公开漏洞的 CVE ID 并发布 CVE 记录。它是 Google CNA 的一个子机构。
范围
Go CNA 涵盖 Go 项目(Go 标准库和子仓库)中的漏洞,以及未被其他 CNA 覆盖的可导入 Go 模块中的公开漏洞。
此范围旨在明确排除用 Go 编写的、不可导入的应用程序或软件包中的漏洞(例如,`main` 包中的任何内容)。有关排除的报告的更多信息,请参阅 go.dev/security/vuln/database#excluded-reports。
要报告 Go 项目中潜在的新漏洞,请参阅 go.dev/security/policy。
请求公开漏洞的 CVE ID
重要提示:下方链接的表单会在问题跟踪器上创建一个公开问题,因此不得用于报告 Go 中未公开的漏洞(有关报告未公开问题的说明,请参阅我们的 安全政策)。
要为 Go 生态系统中已有的公开漏洞请求 CVE ID,请通过此表单提交请求。
如果一个漏洞已被公开披露,或者存在于您维护的软件包中,并且您已准备好公开披露,则该漏洞被视为公开。