将您的漏洞扩展标记为已解决的一个要求是在您的网站上发布安全发布通知。然而,我们注意到开发者们似乎经常难以理解这意味着什么。
这意味着什么?我们没有固定的格式,但我们确实要求任何合理聪明的读者都能理解有一个新版本可用,这是一个安全发布,用户需要更新。此外,这些信息不应该被埋藏在列出您扩展所有优秀功能的页面底部。您可以在这里看到一个好的例子。您会注意到引人注目的图形的使用。您也会注意到第二句话说的是:
这是Joomla! 3.x系列的另一个安全发布。这个版本修复了两个低级安全问题。
综合效果是,读者将无疑地认为这是一个安全发布。
我还需要提供哪些其他信息?
没有。
我们不要求您透露漏洞的详细信息,事实上我们建议您不要透露。您选择说些什么完全取决于您,并且应该以保护您的用户为依据。例如,一些开发者选择为无法更新的用户提供额外的说明,说明如何自己修补问题。
一些开发者担心发布安全更新公告可能会对他们的商业利益造成损害。事实上,没有任何证据表明会发生这种情况,如果您认真对待用户的安全,从长远来看,这将赢得您的尊重。