To report a security issue, email cloudsecuritycompliance-conformiteinfonuagiquesecurise@ssc-spc.gc.ca and include the word "SECURITY" in the subject line.
Please include the requested information listed below (as much as you can provide) to help us better understand the nature and scope of the possible issue:
- Type of issue (e.g. buffer overflow, SQL injection, cross-site scripting, etc.)
- Full paths of source file(s) related to the manifestation of the issue
- The location of the affected source code [tag/branch/commit or direct Uniform Resource Locator (URL)]
- Any special configuration required to reproduce the issue
- Step-by-step instructions to reproduce the issue
- Proof-of-concept or exploit code (if possible)
- Impact of the issue, including how an attacker might exploit the issue
This information will help us triage your issue more quickly.
The Shared Services Canada (SSC) Cloud Security Compliance (CSC) team will send a response indicating the next steps in handling your issue. After the initial reply to your issue, the SSC CSC team will keep you informed of the progress towards a fix and full announcement, and may ask for additional information or guidance.
Pour signaler un problème de sécurité, envoyez un courriel à cloudsecuritycompliance-conformiteinfonuagiquesecurise@ssc-spc.gc.ca et ajoutez le mot « SÉCURITÉ » à la ligne d’objet.
Veuillez inclure les informations demandées ci-dessous (dans la mesure où vous pouvez les fournir) pour nous aider à mieux comprendre la nature et l’étendue du problème possible :
- Type de problème (par exemple, débordement de la mémoire tampon, injection SQL, script intersite, etc.)
- Chemins d’accès complets au(x) fichier(s) source(s) associé(s) à la manifestation du problème
- L’emplacement du code source concerné [étiquette/branche/commit ou Localisateur de ressources uniforme (URL) directe]
- Toute configuration spéciale requise pour reproduire le problème
- Instructions étape par étape pour reproduire le problème
- Preuve de concept ou code d’exploitation (si possible)
- Impact du problème, y compris la façon dont un attaquant pourrait exploiter le problème
Ces informations nous aideront à trier votre problème plus rapidement.
L’équipe du Conformité à la sécurité infonuagique (CSI) de Services partagés Canada (SPC) enverra une réponse indiquant les prochaines étapes de la gestion de votre problème. Après la réponse initiale à votre problème, l’équipe CSI de SPC vous tiendra au courant des progrès vers une solution et l’annonce complète, et peut demander des informations ou des conseils supplémentaires.