Documentation: security-bugs: do not systematically Cc the security team

author Willy Tarreau <w@1wt.eu>

Sat, 9 May 2026 09:47:53 +0000 (11:47 +0200)

committer Jonathan Corbet <corbet@lwn.net>

Tue, 12 May 2026 17:09:14 +0000 (11:09 -0600)
author Willy Tarreau <w@1wt.eu>
Sat, 9 May 2026 09:47:53 +0000 (11:47 +0200)
committer Jonathan Corbet <corbet@lwn.net>
Tue, 12 May 2026 17:09:14 +0000 (11:09 -0600)
diff --git a/Documentation/process/security-bugs.rst b/Documentation/process/security-bugs.rst

index 27b028e858610415c00b1d0d21023c08cfe3d303..6dc525858125eb4b6e6af4c33e71dddc27a2e2e2 100644 (file)
--- a/Documentation/process/security-bugs.rst
+++ b/Documentation/process/security-bugs.rst
@@ -148,7 +148,15 @@ run additional tests.  Reports where the reporter does not respond promptly
  or cannot effectively discuss their findings may be abandoned if the
  communication does not quickly improve.
  
-The report must be sent to maintainers, with the security team in ``Cc:``.
+The report must be sent to maintainers.  If there are two or fewer
+recipients in your message, you must also always Cc: the Linux kernel
+security team who will ensure the message is delivered to the proper
+people, and will be able to assist small maintainer teams with processes
+they may not be familiar with.  For larger teams, Cc: the Linux kernel
+security team for your first few reports or when seeking specific help,
+such as when resending a message which got no response within a week.
+Once you have become comfortable with the process for a few reports, it is
+no longer necessary to Cc: the security list when sending to large teams.
  The Linux kernel security team can be contacted by email at
  <security@kernel.org>.  This is a private list of security officers
  who will help verify the bug report and assist developers working on a fix.
author	Willy Tarreau <w@1wt.eu>
	Sat, 9 May 2026 09:47:53 +0000 (11:47 +0200)
committer	Jonathan Corbet <corbet@lwn.net>
	Tue, 12 May 2026 17:09:14 +0000 (11:09 -0600)