Seguridad en Qt

La seguridad de Qt depende de la infraestructura creada y mantenida por el Grupo Qt y el Proyecto Qt. Esta infraestructura incluye los entornos de desarrollo, pruebas y compilación. Por ejemplo, existe un proceso establecido de revisión del código, un proceso de pruebas mediante analizadores estáticos y herramientas de fuzzing, pruebas de componentes de terceros y pruebas antivirus adicionales para cada versión. Qt también tiene un proceso establecido para gestionar las vulnerabilidades de seguridad.

Política de seguridad del Proyecto Qt

El Proyecto Qt especifica su política de seguridad en QUIP 15. Un resumen de la política de seguridad:

• Qt tiene un Equipo de Seguridad Central que hace cumplir la política de seguridad y aborda los problemas.
• Medidas proactivas para prevenir problemas de seguridad: revisiones de código, análisis de código, pruebas fuzz, etc.
• Notificación de problemas de seguridad: el equipo de seguridad del núcleo supervisa los problemas de seguridad de los módulos de Qt y los componentes de terceros afectados.
• Gestión de problemas de seguridad: los mantenedores, el Core Security Team, el Chief Maintainer y el Qt Group comparten y gestionan los problemas de seguridad.
• Divulgación de los problemas de seguridad confirmados en la base de datos Common Vulnerabilities and Exposures y anuncio público en la lista de correo Qt announce@qt-project.org.

  Puede suscribirse a la lista de correo visitando la página de información sobre la lista de correo del proyecto Qt.

Notificación de problemas de seguridad

Para informar de problemas de seguridad en los productos Qt, envíe un correo electrónico a la lista de correo de seguridad security@qt-project.org. El equipo de seguridad del núcleo supervisa y modera los mensajes entrantes en días laborables (excepto fines de semana). Después de enviar un correo electrónico a la Lista de correo de seguridad, se enviará un acuse de recibo en un plazo de dos días laborables. Si no hay respuesta, el reportero debe ponerse en contacto directamente con el Jefe de Mantenimiento.

Para informar de problemas relacionados con los servicios del Grupo Qt, como el sitio web o la Cuenta Qt, envíe un correo electrónico a security@qt.io.

Acuerdo de seguridad comercial del Grupo Qt

Para los licenciatarios comerciales, utilice la categoría Problemas de Seguridad en el portal de soporte para reportar problemas al equipo de Soporte del Grupo Qt. El informante recibirá un acuse de recibo cuando el problema se envíe a la lista de correo de seguridad.

Visite la página Acuerdo de divulgación responsable de vulnerabilidades para obtener más información.

Vulnerabilidades de Qt

Cuando los expertos técnicos confirman un problema de seguridad en uno de los productos Qt, se crea una entrada de Vulnerabilidades y Exposiciones Comunes (CVE). Una CVE consta de un ID y una descripción. Con el tiempo se añaden más metadatos.

En el caso de los productos Qt, The Qt Company gestiona el proceso de creación de CVE como CVE Numbering Authority (CNA) responsable. Enumera los nuevos CVE en la Lista de vulnerabilidades conocidas en productos Qt, pero también contribuye a la base de datos central de CVE.

Para identificar de forma exclusiva los productos afectados por una vulnerabilidad, los CVE contienen entradas en el formato Common Platform Enumeration (CPE). En el caso de los problemas de Qt Framework, las partes de proveedor y producto de dicha CPE son qt:qt. Por ejemplo, un CVE hipotético que afecte a Qt 6.11.0 tendrá el siguiente CPE:

cpe:2.3:a:qt:qt:6.11.0:*:*:*:*:*:*:*

Lista de Materiales de Software (SBOM)

A partir de Qt 6.8, la instalación de Qt incluye documentos Software Bill of Materials (SBOM), que contienen información sobre los módulos Qt instalados, paquetes y componentes de terceros en formato SPDX. Los archivos SBOM permiten a los usuarios rastrear los paquetes instalados de Qt para la gestión de vulnerabilidades y el cumplimiento de licencias.

• Lista de materiales de software
• Descripción general del formato SPDX

Datos no fiables

Varios módulos de Qt manejan datos como entradas de usuario y recursos ejecutables. Qt espera que los desarrolladores de aplicaciones manejen adecuadamente los datos no fiables. Si una API de Qt obtiene y procesa datos no fiables antes de que la aplicación pueda realizar el procesamiento, entonces Qt considera esta API como crítica para la seguridad. Las API críticas para la seguridad se someten a un escrutinio y pruebas adicionales durante el desarrollo.

En general, evita los datos no procesados de fuentes desconocidas si es posible y realiza procedimientos de seguridad cuando manipules datos. Qt proporciona varios mecanismos para procesar datos, como validadores para la entrada del usuario.

Para obtener más información, consulte Manejo de datos no fiables.

Permisos

Qt 6.5 introduce una API de permisos multiplataforma para gestionar los permisos. La API de permisos es para datos privados relacionados con el usuario y hardware como listas de contactos, calendario, cámara y micrófono.

Para obtener más información, consulte Permisos de aplicaciones.

Mantenimiento de seguridad ampliado para Qt 5.15

Somos conscientes de que su producto puede tener un ciclo de vida más largo que nuestra ventana de soporte habitual para una determinada versión de Qt. Ahora ofrecemos servicios de mantenimiento para clientes con una versión de fin de soporte (EoS) de Qt.

El mantenimiento de seguridad ampliado para Qt 5.15 comienza el 26 de mayo de 2025. El servicio de suscripción Extended Security Maintenance le proporciona acceso a los parches de mantenimiento Critical Vulnerability and Security (CVS) relativos a las bibliotecas Qt para determinadas versiones Long Term Support (LTS) tras el fin de soporte (EoS).

Para obtener más información, consulte Soporte de Qt.