安全报告

有关活动安全策略的更多详细信息，请查看此页面。

报告 Node.js 中的错误

通过 HackerOne 报告 Node.js 中的安全漏洞。

您的报告将在 5 天内得到确认，您将在 10 天内收到对您的报告的更详细的回复，其中说明处理您的提交的后续步骤。

在对您的报告进行初步回复后，安全团队将努力让您了解修复和完整公告的进展情况，并可能要求您提供有关所报告问题的更多信息或指导。

Node.js 项目参与针对安全研究人员和负责任的公开披露的官方漏洞赏金计划。该计划通过 HackerOne 平台管理。有关更多详细信息，请参阅 https://hackerone.com/nodejs。

第三方模块中的安全漏洞应报告给各自的维护者。

以下是 Node.js 的安全披露政策

收到安全报告后，会指派一位主要处理人。此人将协调修复和发布流程。问题得到确认后，会确定所有受影响的版本。代码将被审核以查找任何潜在的类似问题。针对仍在维护的所有版本准备修复。这些修复不会提交到公共仓库，而是保存在本地，等待公告发布。
会选择一个建议的漏洞封锁日期，并为漏洞申请 CVE（通用漏洞和披露 (CVE®)）。
在封锁日期，Node.js 安全邮件列表会收到公告副本。更改将推送到公共仓库，新的构建将部署到 nodejs.org。在邮件列表收到通知后的 6 小时内，将在 Node.js 博客上发布咨询公告的副本。
通常，封锁日期将设定为 CVE 发布后的 72 小时。但是，这可能会根据漏洞的严重程度或修复的难度而有所不同。
此流程可能需要一些时间，尤其是在需要与其他项目的维护者协调时。我们将尽一切努力以最及时的方式处理漏洞；但是，重要的是我们必须遵循上述发布流程，以确保披露以一致的方式进行。

安全通知将通过以下方式发布。

如果您对如何改进此流程有任何建议，请提交 pull request 或提交问题进行讨论。

开源安全基金会 (OpenSSF) 的最佳实践徽章是自由/自由和开源软件 (FLOSS) 项目展示其遵循最佳实践的一种方式。项目可以自愿自我认证他们如何遵循每个最佳实践。徽章的使用者可以快速评估哪些 FLOSS 项目正在遵循最佳实践，因此更有可能产生更高质量的安全软件。