安全性回報
如欲瞭解更多安全策略的相關資訊,請查看此頁面。
回報 Node.js 中的錯誤
你可以透過 HackerOne 回報 Node.js 的安全性錯誤。
你的報告將在 5 天內得到確認,並且將在 10 天內收到更詳細的回覆,說明後續的處理步驟。
在安全團隊針對你的報告做出初步回覆後,將會盡力通知你修復和完整公告的進展,也有可能要求提供與報告相關的額外資訊或指導。
Node.js 漏洞獎勵計畫
Node.js 專案為安全研究人員和盡責公開揭露設立了官方漏洞獎勵計畫。該計畫透過 HackerOne 平台進行管理。詳情請見 https://hackerone.com/nodejs。
回報第三方模塊的錯誤
第三方模塊的錯誤應回報給其相應維護者。
揭露政策
下列為 Node.js 的安全揭露政策
安全報告接受後將指派給一位主要處理人。這位人員將會協調修復和釋出流程。當問題確認後,將整理出所有受影響的版本清單。隨後審核程式碼以排查任何潛在的類似問題。接著針對所有仍在維護中的版本提出修復方案。修復內容不會上傳至公開儲存庫,而是在等待公告期間暫時保存在本機。
針對該漏洞選定建議的解禁日期,並申請一組 CVE® (通用漏洞和揭露,Common Vulnerabilities and Exposures) 編號。
在保密日期截止當天,Node.js 安全郵件清單會收到公告的副本。變更內容將推送至公共儲存庫,同時新版本將部署到 nodejs.org。在 郵件清單收到通知的 6 小時內,公告副本就會張貼在 Node.js 部落格上。
一般而言解禁日期會訂於 CVE 核發的 72 小時後,但仍可能依照漏洞的複雜度及部署的困難度而有變化。
整個流程需要耗費不少時間,尤其在需要與其他專案維護者協調的情況下更是如此。雖然我們會盡快處理漏洞,但我們仍須遵循上述釋出流程以貫徹揭露政策。
接收安全性更新
安全性通知將由以下管道送出。
針對此政策提出建議
若你有任何改進此流程的建議,請建立拉取請求或提出問題進行討論。
OpenSSF 最佳實踐
開源安全基金會 (OpenSSF) 最佳實踐徽章的意義是為奉行最佳實踐的自由/開源軟體 (FLOSS) 專案提供背書。專案可以自發認證每項最佳實踐的遵循情況,徽章的使用者則可以快速評估哪些 FLOSS 專案確實遵循最佳實踐,因此更有可能產出安全又高品質的軟體。