LLVM 安全小组和 2021 年安全透明度报告

在过去几年中，LLVM 项目创建了一个安全小组，旨在实现对影响 LLVM 项目的安全问题的负责任披露和修复。

LLVM 安全小组是在 2020 年 7 月 10 日通过 初始提交 成立的，该提交描述了该小组的目的及其遵循的流程。该小组的许多流程尚未定义得足够好，无法使其良好运行。在 2021 年，关键流程定义得足够好，使该小组能够相当有效地运行。

• 我们定义了关于如何报告安全问题的详细信息，请参阅 2021 年 5 月 20 日的此提交。
• 我们完善了新小组成员提名流程，请参阅 2021 年 7 月 30 日的此提交。
• 我们编写了第一份年度透明度报告，该报告已发布在 https://llvm.net.cn/docs/SecurityTransparencyReports.html 上。以下是 2021 年透明度报告的副本。

在 2021 年，我们有 2 人离开了 LLVM 安全小组，4 人加入。

在 2021 年，安全小组收到了 13 份在 2021 年 12 月 31 日之前公开发布的问题报告。安全小组判定其中 2 份报告为安全问题。

• https://bugs.chromium.org/p/llvm/issues/detail?id=5
• https://bugs.chromium.org/p/llvm/issues/detail?id=11

这两个问题都通过源代码更改得到解决：#5 在 clangd/vscode-clangd 中，#11 在 llvm-project 中。两个问题都没有专门发布 LLVM 版本。

我们相信，随着第一份年度透明度报告的发布，安全小组现在已经实施了所有必要的流程，以确保该小组按承诺运行。该小组的流程可以进一步改进，我们预计在 2022 年将实施更多改进。许多潜在的改进都在 LLVM 安全小组的每月公开电话会议 上进行了讨论。