Sicherheit in Qt
Die Sicherheit von Qt hängt von der Infrastruktur ab, die von der Qt Group und dem Qt Project geschaffen und gepflegt wird. Diese Infrastruktur umfasst die Entwicklungs-, Test- und Build-Umgebungen. So gibt es beispielsweise einen etablierten Code-Review-Prozess, einen Testprozess mit statischen Analysatoren und Fuzzing-Tools, Tests von Komponenten von Drittanbietern und weitere Antivirus-Tests für jede Version. Qt hat auch einen etablierten Prozess für den Umgang mit Sicherheitslücken.
Sicherheitspolitik des Qt-Projekts
Das Qt-Projekt spezifiziert seine Sicherheitsrichtlinien in QUIP 15. Eine Zusammenfassung der Sicherheitsrichtlinien:
- Qt hat ein Core Security Team, das die Sicherheitsrichtlinien durchsetzt und sich um Probleme kümmert.
- Proaktive Maßnahmen zur Vermeidung von Sicherheitsproblemen - Code-Reviews, Code-Analysen, Fuzz-Tests und so weiter.
- Meldung von Sicherheitsproblemen: Das Core Security Team überwacht Sicherheitsprobleme für Qt-Module und betroffene Komponenten von Drittanbietern.
- Behandlung von Sicherheitsproblemen: Die Maintainer, das Core Security Team, der Chief Maintainer und die Qt Group teilen und behandeln Sicherheitsprobleme.
- Offenlegung von bestätigten Sicherheitsproblemen in der Common Vulnerabilities and Exposures-Datenbank und eine öffentliche Ankündigung auf der Qt announce@qt-project.org Mailingliste.
Sie können die Mailingliste abonnieren, indem Sie die Qt Project Mailing List Information Page besuchen.
Melden von Sicherheitsproblemen
Um Sicherheitsprobleme in Qt-Produkten zu melden, senden Sie eine E-Mail an die Security Mail List unter security@qt-project.org. Das Core Security Team überwacht und moderiert eingehende E-Mails an Werktagen (außer an Wochenenden). Nachdem Sie eine E-Mail an die Security Mail List gesendet haben, erhalten Sie innerhalb von zwei Werktagen eine Empfangsbestätigung. Erfolgt keine Antwort, sollte sich der Melder direkt an den Chief Maintainer wenden.
Um Probleme mit den Diensten der Qt Group wie der Website oder dem Qt-Konto zu melden, senden Sie eine E-Mail an security@qt.io.
Kommerzielle Qt Group Sicherheitsvereinbarung
Für kommerzielle Lizenznehmer verwenden Sie die Kategorie " Sicherheitsfragen" im Support-Portal, um Probleme an das Qt Group Support-Team zu melden. Der Meldende erhält eine Bestätigung, wenn das Problem an die Security Mail List weitergeleitet wird.
Weitere Informationen finden Sie auf der Seite "Responsible Vulnerability Disclosure Agreement".
Qt-Sicherheitslücken
Wenn technische Experten ein Sicherheitsproblem in einem der Qt-Produkte bestätigen, wird ein CVE-Eintrag (Common Vulnerabilities and Exposures) erstellt. Ein CVE besteht aus einer ID und einer Beschreibung. Weitere Metadaten werden mit der Zeit hinzugefügt.
Für Qt-Produkte verwaltet The Qt Company den CVE-Erstellungsprozess als zuständige CVE Numbering Authority (CNA). Sie listet neue CVEs in der Liste der bekannten Sicherheitslücken in Qt-Produkten auf, trägt aber auch zur zentralen CVE-Datenbank bei.
Um die von einer Schwachstelle betroffenen Produkte eindeutig zu identifizieren, enthalten CVEs Einträge im Common Platform Enumeration (CPE) Format. Für Probleme im Qt Framework sind die Hersteller- und Produktteile eines solchen CPE qt:qt. Ein hypothetisches CVE, das Qt 6.11.0 betrifft, hat zum Beispiel das folgende CPE:
cpe:2.3:a:qt:qt:6.11.0:*:*:*:*:*:*:*
Software Bill of Materials (SBOM)
Ab Qt 6.8 enthält die Qt-Installation Software-Bill-of-Materials-Dokumente (SBOM), die Informationen über installierte Qt-Module, -Pakete und -Komponenten von Drittanbietern im SPDX-Format enthalten. SBOM-Dateien ermöglichen es dem Benutzer, installierte Qt-Pakete für das Schwachstellenmanagement und die Einhaltung von Lizenzbestimmungen zu verfolgen.
Nicht vertrauenswürdige Daten
Mehrere Qt-Module verarbeiten Daten wie Benutzereingaben und ausführbare Ressourcen. Qt erwartet von Anwendungsentwicklern einen angemessenen Umgang mit nicht vertrauenswürdigen Daten. Wenn eine Qt-API nicht vertrauenswürdige Daten abruft und verarbeitet, bevor die Anwendung die Verarbeitung vornehmen kann, dann betrachtet Qt diese API als sicherheitskritisch. Sicherheitskritische APIs werden während der Entwicklung besonders sorgfältig geprüft und getestet.
Generell sollten Sie unverarbeitete Daten aus unbekannten Quellen möglichst vermeiden und beim Umgang mit Daten Sicherheitsverfahren durchführen. Qt bietet verschiedene Mechanismen zur Verarbeitung von Daten, wie z.B. Validatoren für Benutzereingaben.
Weitere Informationen finden Sie unter Umgang mit nicht vertrauenswürdigen Daten.
Berechtigungen
Qt 6.5 führt eine plattformübergreifende Berechtigungs-API für den Umgang mit Berechtigungen ein. Die Berechtigungs-API ist für benutzerbezogene private Daten und Hardware wie Kontaktlisten, Kalender, Kamera und Mikrofon.
Weitere Informationen finden Sie unter Anwendungsberechtigungen.
Erweiterte Sicherheitswartung für Qt 5.15
Wir sind uns bewusst, dass der Lebenszyklus Ihres Produkts möglicherweise länger ist als unser übliches Support-Fenster für eine bestimmte Qt-Version. Wir bieten jetzt Wartungsdienste für Kunden mit einer End-of-Support (EoS) Version von Qt an.
Die erweiterte Sicherheitswartung für Qt 5.15 beginnt am 26. Mai 2025. Der Abonnementservice für die erweiterte Sicherheitswartung bietet Ihnen Zugang zu CVS-Wartungspatches (Critical Vulnerability and Security) in Bezug auf Qt-Bibliotheken für ausgewählte Long Term Support (LTS)-Releases nach dem Ende des Supports (EoS).
Weitere Informationen finden Sie unter Qt-Support.
© 2026 The Qt Company Ltd. Documentation contributions included herein are the copyrights of their respective owners. The documentation provided herein is licensed under the terms of the GNU Free Documentation License version 1.3 as published by the Free Software Foundation. Qt and respective logos are trademarks of The Qt Company Ltd. in Finland and/or other countries worldwide. All other trademarks are property of their respective owners.
