安全報告

有關現行安全策略的更多詳情，請檢視此頁面。

報告 Node.js 中的漏洞

請透過 HackerOne 報告 Node.js 的安全漏洞。

通常情況下，您的報告將在 5 天內得到確認，並在 10 天內收到更詳細的回覆，告知您處理報告的後續步驟。當我們的分流志願者休假時，尤其是在年底，這些時間線可能會延長。

在對您的報告進行初步回覆後，安全團隊將盡力向您通報修復和全面公告的進展情況，並可能要求您提供有關所報告問題的額外資訊或指導。

Node.js 專案為安全研究人員和負責任的公開披露提供官方的漏洞賞金計劃。該計劃透過 HackerOne 平臺進行管理。更多詳情請參閱 https://hackerone.com/nodejs。

第三方模組中的安全漏洞應向其各自的維護者報告。

以下是 Node.js 的安全披露政策

安全報告被接收後，會指派一名主要處理人。此人將協調修復和釋出過程。我們會針對所有受支援的 Node.js 版本驗證該問題。一旦確認，將確定所有受影響版本的列表。我們會審計程式碼以發現任何潛在的類似問題。我們會為所有受支援的版本準備修復程式。這些修復程式不會提交到公共倉庫，而是在公告發布前儲存在本地。
我們會為此漏洞選擇一個建議的禁發日期，併為該漏洞申請一個 CVE（通用漏洞披露，Common Vulnerabilities and Exposures (CVE®)）。
在禁發日期當天，公告的副本會發送到 Node.js 安全郵件列表。更改會被推送到公共倉庫，新的構建版本會部署到 nodejs.org。在郵件列表收到通知後的 6 小時內，公告的副本將在 Node.js 部落格上釋出。
通常，禁發日期將設定為 CVE 釋出後的 72 小時。然而，根據漏洞的嚴重程度或修復的難度，此時間可能會有所不同。
這個過程可能需要一些時間，尤其是在需要與其他專案的維護者協調時。我們將盡力盡快處理漏洞；但是，我們必須遵循上述釋出流程，以確保我們以一致的方式處理披露事宜。

安全通知將透過以下方式分發。

如果您對如何改進此流程有任何建議，請訪問 nodejs/security-wg 倉庫。

開源安全基金會 (OpenSSF) 的最佳實踐徽章是自由/開源軟體 (FLOSS) 專案展示其遵循最佳實踐的一種方式。專案可以自願地自我認證其如何遵循每項最佳實踐。徽章的使用者可以快速評估哪些 FLOSS 專案正在遵循最佳實踐，從而更有可能生產出更高質量的安全軟體。