安全报告

有关现行安全策略的更多详情，请查看此页面。

报告 Node.js 中的漏洞

请通过 HackerOne 报告 Node.js 的安全漏洞。

通常情况下，您的报告将在 5 天内得到确认，并在 10 天内收到更详细的回复，告知您处理报告的后续步骤。当我们的分流志愿者休假时，尤其是在年底，这些时间线可能会延长。

在对您的报告进行初步回复后，安全团队将尽力向您通报修复和全面公告的进展情况，并可能要求您提供有关所报告问题的额外信息或指导。

Node.js 项目为安全研究人员和负责任的公开披露提供官方的漏洞赏金计划。该计划通过 HackerOne 平台进行管理。更多详情请参阅 https://hackerone.com/nodejs。

第三方模块中的安全漏洞应向其各自的维护者报告。

以下是 Node.js 的安全披露政策

安全报告被接收后，会指派一名主要处理人。此人将协调修复和发布过程。我们会针对所有受支持的 Node.js 版本验证该问题。一旦确认，将确定所有受影响版本的列表。我们会审计代码以发现任何潜在的类似问题。我们会为所有受支持的版本准备修复程序。这些修复程序不会提交到公共仓库，而是在公告发布前保存在本地。
我们会为此漏洞选择一个建议的禁发日期，并为该漏洞申请一个 CVE（通用漏洞披露，Common Vulnerabilities and Exposures (CVE®)）。
在禁发日期当天，公告的副本会发送到 Node.js 安全邮件列表。更改会被推送到公共仓库，新的构建版本会部署到 nodejs.org。在邮件列表收到通知后的 6 小时内，公告的副本将在 Node.js 博客上发布。
通常，禁发日期将设置为 CVE 发布后的 72 小时。然而，根据漏洞的严重程度或修复的难度，此时间可能会有所不同。
这个过程可能需要一些时间，尤其是在需要与其他项目的维护者协调时。我们将尽力尽快处理漏洞；但是，我们必须遵循上述发布流程，以确保我们以一致的方式处理披露事宜。

安全通知将通过以下方式分发。

如果您对如何改进此流程有任何建议，请访问 nodejs/security-wg 仓库。

开源安全基金会 (OpenSSF) 的最佳实践徽章是自由/开源软件 (FLOSS) 项目展示其遵循最佳实践的一种方式。项目可以自愿地自我认证其如何遵循每项最佳实践。徽章的使用者可以快速评估哪些 FLOSS 项目正在遵循最佳实践，从而更有可能生产出更高质量的安全软件。