审阅了我们近期发布的两则安全声明中的反馈意见后，我们对 Ruby on Rails 安全策略 做了一些次要的变更。

我们做出的第一个变更是在文档中增加了有关未收到安全团队回复时应如何操作的信息。通常，在 24 小时内会对发往安全团队邮箱的报告作出回复，但该邮箱中的垃圾邮件数量巨大并且可能会导致邮件被垃圾邮件过滤器拦截。如果您没有收到回复，现在可以直接给正在关注安全报告的人发送两封电子邮件。随着责任重新分配，该页面将持续更新。

第二个变更是对 Rails 漏洞的公告策略进行了清晰的说明。简而言之，我们在公开通知之前会向供应商安全团队发送通知，以便给分发 Rails 的人员提供时间来为其分发准备软件包。然后，在公开通知的时间到来时，会向 安全公告列表 发送一封电子邮件。最后，公告会发布到此博客。

安全公告列表流量极低，我们强烈建议您订阅该列表。这里会在 Rails 中的所有漏洞首次向公众公布时收到通知，并且还会收到有关 Ruby 自身漏洞的额外通知。我们已使用此列表多年，但根据宣布 CVE-2009-1904 后出现的混乱和错误信息，可以判断知道该列表存在的人员还不够多。

如果您对此安全策略有任何意见，请通过电子邮件发送至 security@rubyonrails.org。