Edit on GitHub

Безопасность

Сообщения об ошибках

Сообщайте об ошибках, касающихся безопасности в Node.js, с помощью HackerOne.

Ваше письмо будет рассмотрено в течение 24 часов, а в течение 48-и часов вам будет отправлено более детализированный ответ с указаниями о дальнейшей обработке вашего запроса.

После первого ответа на ваше сообщение, команда безопасности будет держать вас в курсе относительно прогресса в решении проблемы и объявлении о ней, а также может попросить у вас дополнительную информацию или инструкции об ошибке. Эти обновления будут присылаться по крайней мере раз в пять дней, на практике, скорее всего, каждые 24-48 часов.

Программа поощрения

Проект Node.js участвует в официальной программе поощрения для исследователей в области безопасности, и ради ответственного публичного раскрытия информации. Программа управляется через платформу HackerOne. Дальнейшие детали смотрите на https://hackerone.com/nodejs.

Сообщения об ошибках в модулях сторонних разработчиков

Проблемы с безопасностью в модулях сторонних разработчиков должны сообщаться их мейнтейнерам, а также могут быть скоординированы через Node Ecosystem Security Team с помощью HackerOne.

Детали по процессу можно найти в репозитории рабочей группи безопасности.

Спасибо, за улучшение безопасности в Node.js и в экосистеме. Ваши усилия и ответственность высоко ценятся и будут признанными.

Политика открытости

Вот политика раскрытия в сфере безопасности для Node.js:

  • Отчет о безопасности принимается и назначается основном обработчику. Этот человек будет координировать процесс исправления и релиза. Список всех версий определится тогда, когда подтвердится проблема, которую они содержат в себе. Код проверяется для нахождения потенциальных подобных проблем. Исправление готовятся для всех релизов, которые до сих пор поддерживаются. Эти поправки не принимаются в публичный репозиторий, а скорее хранятся локально в ожидании анонса.

  • Выбирается дата закрытия этой уязвимости и в отношении него запрашивается CVE (Common Vulnerabilities and Exposures (CVE®)).

  • В день закрытия, почтовая рассылка по безопасности Node.js рассылает копии анонса. Изменения передаются в публичный репозиторий и новые сборники разворачиваются на nodejs.org. В течение 6:00 после рассылки сообщений копия объявления будет опубликована в блоге Node.js.

  • Обычно дата закрытия устанавливается в течение 72 часов от получения CVE. Однако, это может зависеть от серьезности ошибки и сложностей относительно ее решения.

  • Этот процесс может занять некоторое время, особенно когда необходима координация с мейнтейнерами других проектов. Все усилия будут направлены на то, чтобы решить проблему настолько быстро, насколько это возможно, однако, важно, чтобы мы придерживались процесса релиза, чтобы быть уверенными, что все происходит правильно.

Получение обновлений безопасности

Оповещения, касающиеся безопасности, будут распространяться с помощью:

Комментарии относительно этой политики

Если у вас есть советы по совершенствованию этого процесса, пожалуйста, отправьте pull request или откройте issue для обсуждения.

Вверх