Sicurezza

Se sei approdato a questa pagina in cerca di assistenza, sei invitato a rivolgere eventuali quesiti all’indirizzo [users@global.libreoffice.org](mailto:users@global.libreoffice.org, purché non riguardino bug di sicurezza specifici).

Puoi contattare i team di sicurezza dei prodotti associati al codice sorgente all’indirizzo officesecurity@lists.freedesktop.org; tra questi compaiono rappresentanti di numerosi fornitori e progetti correlati. Questo indirizzo e-mail è destinato esclusivamente alla segnalazione di problemi di sicurezza relativi al software. Se il tuo antivirus segnala che un file scaricato da LibreOffice contiene un virus, si tratta quasi certamente di un falso positivo. Ti preghiamo di verificare con un altro fornitore di antivirus e/o di inviare una segnalazione di errore al produttore prima di contattare la mailing list dedicata alla sicurezza. Inoltre, prendi in considerazione l’acquisto di un antivirus più affidabile.

Nella segnalazione è necessario includere le seguenti informazioni:

  1. In quale versione hai individuato il problema di sicurezza specifico?
  2. Se dipende dalla piattaforma, quale stai utilizzando?
  3. Se possibile, fornisci una prova di fattibilità

Tieni presente che i bug responsabili degli arresti anomali dell’applicazione, ma che non sono suscettibili di essere oggetto di attacchi, non vengono considerati come vulnerabilità di sicurezza. Invitiamo gli utenti che li individuano a contribuire con analisi e relative correzioni alle versioni recenti di LibreOffice secondo la procedura standard.

Procedura di risposta agli incidenti

  1. Puoi comunicare in forma riservata i dettagli della vulnerabilità di sicurezza al nostro team di sicurezza inviando un messaggio di posta elettronica (in inglese) all’indirizzo officesecurity@lists.freedesktop.org
  2. Confermeremo la ricezione della segnalazione e provvederemo a verificare la vulnerabilità. Di norma, forniamo una prima risposta entro 48 ore.
  3. La nostra prassi prevede di rendere pubblica la vulnerabilità entro 30 giorni dalla risoluzione del problema
  4. Le segnalazioni saranno citate nelle note di sicurezza, ma chi le invia potrà rimanere anonimo, se lo desidera.

Elenco delle note di sicurezza (in inglese).