Laporan Keamanan

For more details on active Security Policies, checkout this page.

Melaporkan bug di Node.js

Laporkan bug keamanan di Node.js melalui HackerOne.

Laporan Anda akan diterima dalam waktu 5 hari, dan Anda akan menerima tanggapan yang lebih rinci terhadap laporan Anda dalam waktu 10 hari yang menunjukkan langkah selanjutnya dalam menangani kiriman Anda.

Setelah balasan awal atas laporan Anda, tim keamanan akan berusaha memberi Anda informasi tentang kemajuan yang dicapai menuju pengumuman perbaikan dan lengkap, dan mungkin meminta informasi atau panduan tambahan seputar masalah yang dilaporkan.

Program hadiah bug Node.js

Proyek Node.js terlibat dalam program bug bounty resmi untuk peneliti keamanan dan pengungkapan publik yang bertanggung jawab. Program ini dikelola melalui platform HackerOne. Lihat https://hackerone.com/nodejs untuk detail lebih lanjut.

Melaporkan bug di modul pihak ketiga

Bug keamanan di modul pihak ketiga harus dilaporkan ke pengelola masing-masing.

Kebijakan pengungkapan

Berikut adalah kebijakan pengungkapan keamanan untuk Node.js

Laporan keamanan diterima dan ditetapkan sebagai penangan utama. Orang ini akan mengoordinasikan proses perbaikan dan pelepasan. Masalahnya telah dikonfirmasi dan daftar semua versi yang terpengaruh telah ditentukan. Kode diaudit untuk menemukan potensi masalah serupa. Perbaikan disiapkan untuk semua rilis yang masih dalam pemeliharaan. Perbaikan ini tidak dilakukan pada repositori publik melainkan disimpan secara lokal sambil menunggu pengumuman.

Tanggal embargo yang disarankan untuk kerentanan ini dipilih dan CVE (Common Vulnerabilities and Exposures (CVE®)) diminta untuk kerentanan tersebut.

Pada tanggal embargo, salinan pengumuman dikirim ke milis keamanan Node.js. Perubahan tersebut dikirim ke repositori publik dan versi baru disebarkan ke nodejs.org. Dalam waktu 6 jam setelah milis diberitahukan, salinan nasihat akan dipublikasikan di blog Node.js.

Biasanya tanggal embargo akan ditetapkan 72 jam sejak CVE diterbitkan. Namun, hal ini dapat bervariasi tergantung pada tingkat keparahan bug atau kesulitan dalam menerapkan perbaikan.

Proses ini dapat memakan waktu, terutama bila diperlukan koordinasi dengan pengelola proyek lain. Segala upaya akan dilakukan untuk menangani bug tersebut secepat mungkin; namun, penting bagi kami untuk mengikuti proses rilis di atas untuk memastikan bahwa pengungkapan ditangani secara konsisten.

Menerima pembaruan keamanan

Pemberitahuan keamanan akan didistribusikan melalui metode berikut.

Google Grup Blog Node.js

Komentar tentang kebijakan ini

Jika Anda memiliki saran tentang bagaimana proses ini dapat ditingkatkan, silakan kirimkan permintaan penarikan atau [ajukan masalah (https://github.com/nodejs/security -wg/issues/new) untuk didiskusikan.

Praktik Terbaik OpenSSF

OpenSSF Badge

Best Practices badge Open Source Security Foundation (OpenSSF) adalah cara bagi proyek Free/Libre dan Open Source Software (FLOSS) untuk menunjukkan bahwa mereka mengikuti praktik terbaik. Proyek dapat secara sukarela melakukan sertifikasi sendiri bagaimana mereka mengikuti setiap praktik terbaik. Konsumen yang tersertifikasi dapat dengan cepat menilai proyek FLOSS mana yang mengikuti praktik terbaik dan sebagai hasilnya, mereka lebih cenderung menghasilkan perangkat lunak aman berkualitas lebih tinggi.