跳到内容

安全报告

【Security Reporting】

有关活动安全策略的更多详细信息,请查看此页面

【For more details on active Security Policies, checkout this page.】

在 Node.js 中报告错误

【Reporting a bug in Node.js】

通过 HackerOne 报告 Node.js 的安全漏洞。

【Report security bugs in Node.js via HackerOne.】

通常情况下,你的报告将在 5 天内得到确认,并且你将在 10 天内收到关于你的报告的更详细回复,说明处理你提交内容的下一步措施。当我们的分流志愿者休假时,特别是年末,这些时间可能会延长。

【Normally, your report will be acknowledged within 5 days, and you'll receive a more detailed response to your report within 10 days indicating the next steps in handling your submission. These timelines may extend when our triage volunteers are away on holiday, particularly at the end of the year.】

在对你的报告作出初步回复后,安全团队将努力让你了解问题修复和完整公告的进展情况,并可能会要求提供有关所报告问题的额外信息或指导。

【After the initial reply to your report, the security team will endeavor to keep you informed of the progress being made towards a fix and full announcement, and may ask for additional information or guidance surrounding the reported issue.】

Node.js 漏洞赏金计划

【Node.js bug bounty program】

Node.js 项目参与一个面向安全研究人员和负责任公开披露的官方漏洞赏金计划。该计划通过 HackerOne 平台管理。更多详情请参见 https://hackerone.com/nodejs

【The Node.js project engages in an official bug bounty program for security researchers and responsible public disclosures. The program is managed through the HackerOne platform. See https://hackerone.com/nodejs for further details.】

报告第三方模块中的错误

【Reporting a bug in a third party module】

第三方模块中的安全漏洞应报告给其相应的维护者。

【Security bugs in third party modules should be reported to their respective maintainers.】

披露政策

【Disclosure policy】

以下是 Node.js 的安全披露政策

【Here is the security disclosure policy for Node.js】

  • 安全报告已收到,并分配了一个主要处理人员。此人将协调修复和发布流程。问题会针对所有受支持的 Node.js 版本进行验证。一旦确认,会确定所有受影响版本的列表。代码会进行审计,以查找任何潜在的类似问题。为所有受支持的版本准备修复。这些修复不会提交到公共代码库,而是本地保存,直至公告发布。
  • 为此漏洞选择了建议的禁运日期,并为该漏洞申请了 CVE(公共漏洞和曝光,Common Vulnerabilities and Exposures (CVE®))。
  • 在禁运日期,将公告的副本发送到 Node.js 安全邮件列表。更改会被推送到公共仓库,并且新的构建会部署到 nodejs.org。在邮件列表收到通知的 6 小时内,公告副本将会在 Node.js 博客上发布。
  • 通常,禁发日期会设定在 CVE 发布后的 72 小时。但这可能会因漏洞的严重性或修复难度而有所不同。
  • 这个过程可能需要一些时间,尤其是当我们需要与其他项目的维护者协调时。我们会尽量尽快处理该漏洞;然而,我们必须遵循上述的发布流程,以确保对漏洞披露进行一致的处理。

接收安全更新

【Receiving security updates】

安全通知将通过以下方式分发。

【Security notifications will be distributed via the following methods.】

关于此政策的评论

【Comments on this policy】

如果你对如何改进此流程有建议,请访问 nodejs/security-wg 仓库。

【If you have suggestions on how this process could be improved, please visit the nodejs/security-wg repository.】

OpenSSF 最佳实践

【OpenSSF Best Practices】

OpenSSF Badge

开源安全基金会(OpenSSF)最佳实践徽章 是一种让自由/开源软件(FLOSS)项目展示其遵循最佳实践的方式。项目可以自愿对每一项最佳实践的遵循情况进行自我认证。徽章的使用者可以快速评估哪些 FLOSS 项目遵循最佳实践,因此更有可能产生高质量的安全软件。

【The Open Source Security Foundation (OpenSSF) Best Practices badge is a way for Free/Libre and Open Source Software (FLOSS) projects to show that they follow best practices. Projects can voluntarily self-certify how they follow each best practice. Consumers of the badge can quickly assess which FLOSS projects are following best practices and as a result are more likely to produce higher-quality secure software.】

阅读时间
5 min
目录
  1. 在 Node.js 中报告错误
  2. Node.js 漏洞赏金计划
  3. 报告第三方模块中的错误
  4. 披露政策
  5. 接收安全更新
  6. 关于此政策的评论
  7. OpenSSF 最佳实践