Relatórios de Segurança
Para obter mais informações sobre as Políticas de Segurança ativas, consultar esta página.
Reportar um erro na Node.js
Reportar erros de segurança na Node.js através da HackerOne.
nosso relatório será confirmado dentro de 5 dias e receberemos uma resposta mais detalhada ao nosso relatório dentro de 10 dias, indicando os próximos passos no tratamento da nossa submissão.
Após a resposta inicial ao nosso relatório, a equipa de segurança esforçar-se-á por manter-nos informados sobre os progressos realizados no sentido duma correção e de um anúncio completo, podendo solicitar informações ou orientações adicionais sobre o problema reportado.
Programa de recompensa por erros da Node.js
projeto Node.js tem um programa oficial de recompensa por erros para investigadores de segurança e divulgações públicas responsáveis. O programa é gerido através da plataforma HackerOne. Consultar https://hackerone.com/nodejs por mais detalhes.
Reportar um erro num módulo de terceiro
Os erros de segurança em módulos de terceiros devem ser reportados aos seus respetivos responsáveis.
Política de Divulgação
Eis a política de divulgação de segurança da Node.js
O relatório de segurança é recebido e é-lhe atribuído um responsável principal. Esta pessoa coordenará o processo de correção e lançamento. O problema é confirmado e determinada uma lista de todas as versões afetadas. O código é auditado para detetar quaisquer problemas semelhantes. São preparadas correções para todas as versões que ainda se encontram em manutenção. Estas correções não são colocadas no repositório público, mas sim mantidas localmente enquanto se aguarda o anúncio.
É selecionada uma data de embargo para esta vulnerabilidade e requisitada um CVE (Common Vulnerabilities and Exposures (CVE®)) para a vulnerabilidade.
Na data do embargo, a lista de discussão de segurança da Node.js recebe uma cópia do anúncio. As alterações são enviadas ao repositório público e novas compilações são implantadas na nodejs.org. Dentro de 6 horas após a notificação da lista de correio eletrónico, será publicada uma cópia do aviso no blogue da Node.js.
Normalmente, a data de embargo será definida 72 horas a partir do momento em que o CVE é emitido. No entanto, isto pode variar consoante a gravidade do erro ou a dificuldade em aplicar uma correção.
Este processo pode demorar algum tempo, especialmente quando é necessária coordenação com os responsáveis de outros projetos. Todos os esforços serão feitos para tratar o erro da maneira mais atempada possível; no entanto, é importante que sigamos o processo de divulgação acima referido para garantir que a divulgação é tratada de maneira consistente.
Receber atualizações de segurança
As notificações de segurança serão distribuídas através dos seguintes métodos.
Grupo da Google Blogue da Node.js
Comentários sobre esta política
Se tivermos sugestões sobre como este processo poderia ser melhorado, podemos submeter um pedido de atualização ou registar um problema a discutir-se.
Boas Práticas da OpenSSF
distintivo de boas práticas da “Open Source Security Foundation (OpenSSF)” é uma maneira de os projetos de Software Livre e de Código Aberto (FLOSS) mostrarem que seguem as boas práticas. Os projetos podem certificar-se voluntariamente como seguem cada uma das boas práticas. Os consumidores do distintivo podem avaliar rapidamente quais os projetos FLOSS que seguem as boas práticas e, consequentemente, têm maior probabilidade de produzir software seguro de superior qualidade.