Sicherheit in Qt

Die Sicherheit von Qt hängt von der Infrastruktur ab, die von der Qt Group und dem Qt Project geschaffen und gepflegt wird. Diese Infrastruktur umfasst die Entwicklungs-, Test- und Build-Umgebungen. So gibt es beispielsweise einen etablierten Code-Review-Prozess, einen Testprozess mit statischen Analysatoren und Fuzzing-Tools, Tests von Komponenten von Drittanbietern und weitere Antivirus-Tests für jede Version. Qt hat auch einen etablierten Prozess für den Umgang mit Sicherheitslücken.

Sicherheitspolitik des Qt-Projekts

Das Qt-Projekt spezifiziert seine Sicherheitsrichtlinien in QUIP 15. Eine Zusammenfassung der Sicherheitsrichtlinien:

• Qt hat ein Core Security Team, das die Sicherheitsrichtlinien durchsetzt und sich um Probleme kümmert.
• Proaktive Maßnahmen zur Vermeidung von Sicherheitsproblemen - Code-Reviews, Code-Analysen, Fuzz-Tests und so weiter.
• Meldung von Sicherheitsproblemen: Das Core Security Team überwacht Sicherheitsprobleme für Qt-Module und betroffene Komponenten von Drittanbietern.
• Behandlung von Sicherheitsproblemen: Die Maintainer, das Core Security Team, der Chief Maintainer und die Qt Company teilen und behandeln Sicherheitsprobleme.
• Veröffentlichung von bestätigten Sicherheitsproblemen in der Common Vulnerabilities and Exposures Datenbank und eine öffentliche Ankündigung auf der Qt announce@qt-project.org Mailingliste.

Melden von Sicherheitsproblemen

Um Sicherheitsprobleme in Qt-Produkten zu melden, senden Sie eine E-Mail an die Security Mail List unter security@qt-project.org. Das Core Security Team überwacht und moderiert eingehende E-Mails an Werktagen (außer an Wochenenden). Nachdem Sie eine E-Mail an die Security Mail List gesendet haben, erhalten Sie innerhalb von zwei Werktagen eine Empfangsbestätigung. Erfolgt keine Antwort, sollte sich der Melder direkt an den Chief Maintainer wenden.

Um Probleme mit den Diensten der Qt Company, wie der Website oder dem Qt-Konto, zu melden, senden Sie eine E-Mail an security@qt.io.

Qt Group Kommerzielle Sicherheitsvereinbarung

Für kommerzielle Lizenznehmer verwenden Sie die Kategorie " Sicherheitsfragen" im Support-Portal, um Probleme an das Qt Company Support-Team zu melden. Der Meldende erhält eine Bestätigung, wenn das Problem an die Security Mail List weitergeleitet wird.

Weitere Informationen finden Sie auf der Seite Responsible Vulnerability Disclosure Agreement.

Software-Stückliste (SBOM)

Ab Qt 6.8 enthält die Qt-Installation Software Bill of Materials (SBOM)-Dokumente, die Informationen über installierte Qt-Module, -Pakete und Komponenten von Drittanbietern im SPDX-Format enthalten. SBOM-Dateien ermöglichen es dem Benutzer, installierte Qt-Pakete für das Schwachstellenmanagement und die Einhaltung von Lizenzbestimmungen zu verfolgen.

• Software-Stücklisten
• SPDX Format Übersicht

Nicht vertrauenswürdige Daten

Mehrere Qt-Module verarbeiten Daten wie Benutzereingaben und ausführbare Ressourcen. Qt erwartet von Anwendungsentwicklern einen angemessenen Umgang mit nicht vertrauenswürdigen Daten. Wenn eine Qt-API nicht vertrauenswürdige Daten abruft und verarbeitet, bevor die Anwendung die Verarbeitung vornehmen kann, dann betrachtet Qt diese API als sicherheitskritisch. Sicherheitskritische APIs werden während der Entwicklung besonders sorgfältig geprüft und getestet.

Generell sollten Sie unverarbeitete Daten aus unbekannten Quellen möglichst vermeiden und beim Umgang mit Daten Sicherheitsverfahren durchführen. Qt bietet verschiedene Mechanismen zur Verarbeitung von Daten, wie z.B. Validatoren für Benutzereingaben.

Weitere Informationen finden Sie unter Umgang mit nicht vertrauenswürdigen Daten.

Berechtigungen

Qt 6.5 führt eine plattformübergreifende Berechtigungs-API für den Umgang mit Berechtigungen ein. Die Berechtigungs-API ist für benutzerbezogene private Daten und Hardware wie Kontaktlisten, Kalender, Kamera und Mikrofon.

Weitere Informationen finden Sie unter Anwendungsberechtigungen.