La sécurité dans Qt

La sécurité de Qt repose sur l'infrastructure créée et maintenue par le groupe Qt et le projet Qt. Cette infrastructure comprend les environnements de développement, de test et de construction. Par exemple, il existe un processus établi de révision du code, un processus de test utilisant des analyseurs statiques et des outils de fuzzing, des tests de composants tiers et des tests antivirus supplémentaires pour chaque version. Qt dispose également d'un processus établi pour traiter les failles de sécurité.

Politique de sécurité du projet Qt

Le projet Qt spécifie sa politique de sécurité dans le QUIP 15. Un résumé de la politique de sécurité :

• Qt a une équipe de sécurité Core qui applique la politique de sécurité et traite les problèmes.
• Des mesures proactives pour prévenir les problèmes de sécurité - revues de code, analyse de code, tests fuzz, etc.
• Signalement des problèmes de sécurité : l'équipe de sécurité Core surveille les problèmes de sécurité pour les modules Qt et les composants tiers concernés.
• Traitement des problèmes de sécurité : les mainteneurs, l'équipe de sécurité Core, le mainteneur en chef et le groupe Qt partagent et traitent les problèmes de sécurité.
• Divulgation des problèmes de sécurité confirmés dans la base de données Common Vulnerabilities and Exposures et annonce publique sur la liste de diffusion Qt announce@qt-project.org.

  Vous pouvez vous abonner à la liste de diffusion en visitant la page d'information de la liste de diffusion du projet Qt.

Signaler des problèmes de sécurité

Pour signaler des problèmes de sécurité dans les produits Qt, envoyez un courriel à la liste de diffusion sur la sécurité à l'adresse security@qt-project.org. L'équipe de sécurité centrale surveille et modère les courriels entrants les jours ouvrables (à l'exclusion des week-ends). Après l'envoi d'un courriel à la Security Mail List, un accusé de réception sera envoyé dans les deux jours ouvrables. S'il n'y a pas de réponse, l'auteur du rapport doit contacter directement le responsable de la maintenance.

Pour signaler des problèmes concernant les services du Qt Group tels que le site web ou le compte Qt, envoyez un courriel à security@qt.io.

Accord de sécurité commerciale du Qt Group

Pour les détenteurs de licences commerciales, utilisez la catégorie Questions de sécurité dans le portail d'assistance pour signaler des problèmes à l'équipe d'assistance du Qt Group. Le rapporteur recevra un accusé de réception lorsque le problème sera transmis à la liste de diffusion sur la sécurité.

Visitez la page Accord de divulgation responsable des vulnérabilités pour plus d'informations.

Vulnérabilités de Qt

Lorsque des experts techniques confirment un problème de sécurité dans l'un des produits Qt, une entrée CVE (Common Vulnerabilities and Exposures) est créée. Une CVE se compose d'un identifiant et d'une description. D'autres métadonnées sont ajoutées au fil du temps.

Pour les produits Qt, The Qt Company gère le processus de création des CVE en tant qu'autorité de numérotation des CVE (CNA). Elle répertorie les nouveaux CVE dans la liste des vulnérabilités connues dans les produits Qt, mais contribue également à la base de données centrale des CVE.

Pour identifier de manière unique les produits affectés par une vulnérabilité, les CVE contiennent des entrées dans le format Common Platform Enumeration (CPE). Pour les problèmes liés au Qt Framework, les parties " fournisseur " et " produit" d'un tel CPE sont qt:qt. Par exemple, un CVE hypothétique qui affecte Qt 6.11.0 aura le CPE suivant :

cpe:2.3:a:qt:qt:6.11.0:*:*:*:*:*:*:*

Nomenclature du logiciel (SBOM)

À partir de Qt 6.8, l'installation de Qt inclut des documents SBOM (Software Bill of Materials), contenant des informations sur les modules Qt installés, les paquets et les composants tiers au format SPDX. Les fichiers SBOM permettent aux utilisateurs de suivre les paquets Qt installés pour la gestion des vulnérabilités et la conformité des licences.

• Nomenclature du logiciel
• Présentation du format SPDX

Données non fiables

Plusieurs modules de Qt gèrent des données telles que les entrées utilisateur et les ressources exécutables. Qt attend des développeurs d'applications qu'ils traitent les données non fiables de manière appropriée. Si une API Qt récupère et traite des données non fiables avant que l'application ne puisse le faire, Qt considère alors cette API comme critique pour la sécurité. Les API critiques sur le plan de la sécurité font l'objet d'un examen et de tests supplémentaires au cours du développement.

En règle générale, il convient d'éviter autant que possible les données non traitées provenant de sources inconnues et d'appliquer des procédures de sécurité lors de la manipulation des données. Qt fournit plusieurs mécanismes de traitement des données, tels que des validateurs pour les entrées utilisateur.

Pour plus d'informations, voir Manipuler des données non fiables.

Permissions

Qt 6.5 introduit une API de permission multiplateforme pour gérer les permissions. L'API de permission concerne les données privées et le matériel liés à l'utilisateur, tels que les listes de contacts, le calendrier, l'appareil photo et le microphone.

Pour plus d'informations, voir Permissions d'application.

Maintenance de sécurité étendue pour Qt 5.15

Nous reconnaissons que votre produit peut avoir un cycle de vie plus long que notre fenêtre de support habituelle pour une version donnée de Qt. Nous proposons désormais des services de maintenance pour les clients dont la version de Qt est en fin de support (EoS).

La maintenance de sécurité étendue pour Qt 5.15 commence le 26 mai 2025. Le service d'abonnement Extended Security Maintenance vous donne accès aux correctifs de maintenance CVS (Critical Vulnerability and Security) relatifs aux bibliothèques Qt pour certaines versions LTS (Long Term Support) après la fin du support (EoS).

Pour plus d'informations, voir Qt Support.