Skip Navigation

安全报告

有关活动安全策略的更多详细信息,请查看此页面

向 Node.js 报告漏洞

通过 HackerOne 报告 Node.js 的安全漏洞。

您的报告将在5天内得到确认,并将在接下来的10天内收到更详细的回复,说明处理您的报告的下一步措施。

在对您的报告进行初步回复后,安全团队将努力让您了解修复工作的进展情况和完整公告,并可能会要求提供有关报告问题的额外信息或指导。

Node.js漏洞赏金计划

Node.js 项目为安全研究人员和负责任的公开披露提供官方漏洞赏金计划。该计划通过 HackerOne 平台进行管理。更多详细信息请参阅 https://hackerone.com/nodejs

向第三方模块汇报漏洞

第三方模块中的安全漏洞应该报告给他们各自的维护者。

安全问题通报规则

这是 Node.js 的安全问题通报规则

安全报告已收到并分配了主要处理者。这个人将协调修复并报告进度。当问题被确认,并确定了所有受影响版本的列表。将对代码进行审核,以找出任何潜在的类似问题。为仍在维护中的所有版本进行修复。这些修复不会提交到公共存储库,而是在宣布之前保留在本地。

为此漏洞选择了建议禁运日期,并且为此漏洞提出 (CVE®))(常见漏洞暴露)请求。

在禁运日期时,Node.js 安全邮件列表以公告副本形式发出,并且这些更改将被推送到公共存储库,并将新生成部署到 nodejs.org。在通知邮件列表的 6 小时内,将在 Node.js 博客上发布相关咨询副本。

通常禁运日期将在 CVE 发布之时起,在 72 小时内设置。但是这可能会因安全缺陷的严重程度或应用修复程序的困难程度而有所不同。

这个过程可能需要一些时间,特别是当需要与其他项目的维护人员进行协调时。但是将尽一切努力尽可能及时地处理缺陷漏洞。然而我们仍必须遵循上面的发布过程,以确保以一致的方式处理泄漏。

接收安全更新

安全通知将通过以下方式分发。

Google Group Node.js 博客

对于此政策的评论与建议

如果您对如何改进此流程有任何建议,请提交一个 PR 或者 Issue 进行讨论。

OpenSSF 最佳实践

OpenSSF Badge

开源安全基金会(OpenSSF)最佳实践徽章 是自由/自由和开源软件(FLOSS)项目展示他们遵循最佳实践的一种方式。 项目可以自愿地自我认证他们如何遵循每个最佳实践。 徽章的使用者可以快速评估哪些 FLOSS 项目正在遵循最佳实践,因此更有可能产生更高质量的安全软件。