Sicherheit in Qt
Die Sicherheit von Qt hängt von der Infrastruktur ab, die von der Qt Group und dem Qt Project geschaffen und gepflegt wird. Diese Infrastruktur umfasst die Entwicklungs-, Test- und Build-Umgebungen. So gibt es beispielsweise einen etablierten Code-Review-Prozess, einen Testprozess mit statischen Analysatoren und Fuzzing-Tools, Tests von Komponenten von Drittanbietern und weitere Antivirus-Tests für jede Version. Qt hat auch einen etablierten Prozess für den Umgang mit Sicherheitslücken.
Sicherheitspolitik des Qt-Projekts
Das Qt-Projekt spezifiziert seine Sicherheitsrichtlinien in QUIP 15. Eine Zusammenfassung der Sicherheitsrichtlinien:
- Qt hat ein Core Security Team, das die Sicherheitsrichtlinien durchsetzt und sich um Probleme kümmert.
- Proaktive Maßnahmen zur Vermeidung von Sicherheitsproblemen - Code-Reviews, Code-Analysen, Fuzz-Tests und so weiter.
- Meldung von Sicherheitsproblemen: Das Core Security Team überwacht Sicherheitsprobleme für Qt-Module und betroffene Komponenten von Drittanbietern.
- Behandlung von Sicherheitsproblemen: Die Maintainer, das Core Security Team, der Chief Maintainer und die Qt Company teilen und behandeln Sicherheitsprobleme.
- Veröffentlichung von bestätigten Sicherheitsproblemen in der Common Vulnerabilities and Exposures Datenbank und eine öffentliche Ankündigung auf der Qt announce@qt-project.org Mailingliste.
Melden von Sicherheitsproblemen
Um Sicherheitsprobleme in Qt-Produkten zu melden, senden Sie eine E-Mail an die Security Mail List unter security@qt-project.org. Das Core Security Team überwacht und moderiert eingehende E-Mails an Werktagen (außer an Wochenenden). Nachdem Sie eine E-Mail an die Security Mail List gesendet haben, erhalten Sie innerhalb von zwei Werktagen eine Empfangsbestätigung. Erfolgt keine Antwort, sollte sich der Melder direkt an den Chief Maintainer wenden.
Um Probleme mit den Diensten der Qt Company, wie der Website oder dem Qt-Konto, zu melden, senden Sie eine E-Mail an security@qt.io.
Qt Group Kommerzielle Sicherheitsvereinbarung
Für kommerzielle Lizenznehmer verwenden Sie die Kategorie " Sicherheitsprobleme" im Support-Portal, um Probleme an das Qt Company Support-Team zu melden. Der Meldende erhält eine Bestätigung, wenn das Problem an die Security Mail List weitergeleitet wird.
Weitere Informationen finden Sie auf der Seite Responsible Vulnerability Disclosure Agreement.
Software-Stückliste (SBOM)
Ab Qt 6.8 enthält die Qt-Installation Software Bill of Materials (SBOM)-Dokumente, die Informationen über installierte Qt-Module, -Pakete und Komponenten von Drittanbietern im SPDX-Format enthalten. SBOM-Dateien ermöglichen es dem Benutzer, installierte Qt-Pakete für das Schwachstellenmanagement und die Einhaltung von Lizenzbestimmungen zu verfolgen.
Nicht vertrauenswürdige Daten
Mehrere Qt-Module verarbeiten Daten wie Benutzereingaben und ausführbare Ressourcen. Qt erwartet von Anwendungsentwicklern einen angemessenen Umgang mit nicht vertrauenswürdigen Daten. Wenn eine Qt-API nicht vertrauenswürdige Daten abruft und verarbeitet, bevor die Anwendung die Verarbeitung vornehmen kann, dann betrachtet Qt diese API als sicherheitskritisch. Sicherheitskritische APIs werden während der Entwicklung besonders sorgfältig geprüft und getestet.
Generell sollten Sie unverarbeitete Daten aus unbekannten Quellen möglichst vermeiden und beim Umgang mit Daten Sicherheitsverfahren durchführen. Qt bietet verschiedene Mechanismen zur Verarbeitung von Daten, wie z.B. Validatoren für Benutzereingaben.
Weitere Informationen finden Sie unter Umgang mit nicht vertrauenswürdigen Daten.
Berechtigungen
Qt 6.5 führt eine plattformübergreifende Berechtigungs-API für den Umgang mit Berechtigungen ein. Die Berechtigungs-API ist für benutzerbezogene private Daten und Hardware wie Kontaktlisten, Kalender, Kamera und Mikrofon.
Weitere Informationen finden Sie unter Anwendungsberechtigungen.
Qt-Sicherheitslücken
Das Qt-Projekt unterhält eine Liste bekannter Schwachstellen in Form eines Wikis, das die betroffenen Versionen und mögliche Abhilfemaßnahmen enthält.
Weitere Informationen finden Sie unter Liste der bekannten Sicherheitslücken in Qt-Produkten
Erweiterte Sicherheitswartung für Qt 5.15
Wir sind uns bewusst, dass der Lebenszyklus Ihres Produkts möglicherweise länger ist als unser übliches Support-Fenster für eine bestimmte Qt-Version. Wir bieten jetzt Wartungsdienste für Kunden mit einer End-of-Support (EoS) Version von Qt an.
Die erweiterte Sicherheitswartung für Qt 5.15 beginnt am 26. Mai 2025. Der Abonnementservice für die erweiterte Sicherheitswartung bietet Ihnen Zugang zu CVS-Wartungspatches (Critical Vulnerability and Security) in Bezug auf Qt-Bibliotheken für ausgewählte Long Term Support (LTS)-Releases nach dem Ende des Supports (EoS).
Weitere Informationen finden Sie unter Qt-Support.
© 2025 The Qt Company Ltd. Documentation contributions included herein are the copyrights of their respective owners. The documentation provided herein is licensed under the terms of the GNU Free Documentation License version 1.3 as published by the Free Software Foundation. Qt and respective logos are trademarks of The Qt Company Ltd. in Finland and/or other countries worldwide. All other trademarks are property of their respective owners.