Qt 的安全性

Qt 的安全性依赖于 Qt 小组和 Qt 项目创建和维护的基础架构。该基础架构包括开发、测试和构建环境。例如，有一个既定的代码审查流程、一个使用静态分析器和模糊工具的测试流程、第三方组件测试，以及每个版本的进一步杀毒测试。Qt 还有一套成熟的安全漏洞处理流程。

Qt 项目安全政策

Qt 项目在QUIP 15 中规定了其安全策略。安全政策摘要：

• Qt 有一个核心安全团队，负责执行安全政策和处理问题。
• 预防安全问题的积极措施--代码审查、代码分析、模糊测试等。
• 报告安全问题：核心安全团队监控 Qt 模块和受影响的第三方组件的安全问题。
• 处理安全问题：维护者、核心安全团队、首席维护者和 Qt 公司共享并处理安全问题。
• 在Common Vulnerabilities and Exposures 数据库中披露已确认的安全问题，并在 Qtannounce@qt-project.org邮件列表中发布公告。

报告安全问题

要报告Qt 产品中的安全问题，请向安全邮件列表security@qt-project.org 发送电子邮件。核心安全团队会在工作日（周末除外）监控和管理收到的电子邮件。向安全邮件列表发送电子邮件后，我们会在两个工作日内确认收到。如果没有回复，报告者应直接联系首席维护者。

要报告有关 Qt 公司服务（如网站或 Qt 账户）的问题，请发送电子邮件至security@qt.io。

Qt 集团商业安全协议

对于商业许可证持有者，请使用支持门户中的安全问题类别向 Qt Company 支持团队报告问题。当问题被转发到安全邮件列表时，报告者将收到一份确认函。

请访问 "责任漏洞披露协议"页面了解更多信息。

软件物料清单 (SBOM)

从 Qt 6.8 开始，Qt 安装包含软件物料清单 (SBOM) 文档，其中包含 SPDX 格式的已安装 Qt 模块、软件包和第三方组件的信息。SBOM 文件允许用户跟踪已安装的 Qt 软件包，以便进行漏洞管理和许可证合规性检查。

• 软件物料清单
• SPDX 格式概述

不可信任的数据

多个 Qt 模块处理用户输入和可执行资源等数据。Qt 希望应用程序开发人员适当处理不信任的数据。如果 Qt API 在应用程序可以进行处理之前获取并处理不信任的数据，那么 Qt 会将此 API 视为安全关键 API。在开发过程中，安全关键 API 会受到额外的审查和测试。

一般来说，应尽可能避免处理来源不明的数据，并在处理数据时执行安全程序。Qt 提供了多种处理数据的机制，如用户输入验证器。

如需了解更多信息，请参阅 "处理不可信任的数据"。

权限

Qt 6.5 引入了用于处理权限的跨平台权限 API。权限 API 适用于与用户相关的私人数据和硬件，如联系人列表、日历、摄像头和麦克风。

有关详细信息，请参阅应用程序权限。

Qt 漏洞

Qt 项目以维基方式维护已知漏洞列表，其中包括受影响的版本和可能的缓解措施。

有关详细信息，请参阅Qt 产品中的已知漏洞列表。

Qt 5.15 的扩展安全维护

我们认识到，您的产品的生命周期可能长于我们对特定 Qt 版本的通常支持窗口。我们现在为使用支持终止（EoS）版本 Qt 的客户提供维护服务。

Qt 5.15的扩展安全维护服务从 2025 年 5 月 26 日开始。扩展安全维护订阅服务可让您在支持终止（EoS）后访问与特定长期支持（LTS）版本的 Qt 库相关的关键漏洞和安全（CVS）维护补丁。

有关详细信息，请参阅Qt 支持。