安全报告

有关有效安全策略的更多详细信息，请查看此页面。

报告 Node.js 中的错误

通过HackerOne报告 Node.js 中的安全错误。

您的报告将在 5 天内得到确认，并且您将在 10 天内收到更详细的报告回复，说明处理您提交内容的后续步骤。

在初步回复您的报告后，安全团队将努力让您了解正在修复和全面公告的进展情况，并可能会要求您提供有关所报告问题的更多信息或指导。

Node.js 漏洞赏金计划

Node.js 项目为安全研究人员和负责任的公开披露参与官方漏洞赏金计划。 该计划通过 HackerOne 平台进行管理。 有关更多详细信息，请参见https://hackerone.com/nodejs。

报告第三方模块中的错误

第三方模块中的安全错误应报告给各自的维护者。

披露政策

以下是 Node.js 的安全披露政策

• 收到安全报告，并分配一名主要处理人。 此人将协调修复和发布过程。 该问题已确认，并确定所有受影响的版本列表。 代码经过审核，以查找任何潜在的类似问题。 修复程序已为仍在维护的所有版本准备就绪。 这些修复程序不会提交到公共存储库，而是保存在本地等待公告。

• 选择此漏洞的建议禁运日期，并请求为该漏洞提供 CVE（通用漏洞披露 (CVE®)）。

• 在禁运日期，Node.js 安全邮件列表会收到公告的副本。 更改已推送到公共存储库，并且新版本已部署到 nodejs.org。 邮件列表收到通知后的 6 小时内，咨询的副本将发布在 Node.js 博客上。

• 通常，禁运日期将设置为自颁发 CVE 起 72 小时。 但是，这可能会因错误的严重程度或应用修复程序的难度而异。

• 此过程可能需要一些时间，尤其是在需要与其他项目的维护者进行协调时。 我们将尽一切努力尽快处理该错误； 但是，重要的是我们遵循上述发布过程，以确保以一致的方式处理披露。

接收安全更新

安全通知将通过以下方法分发。

• Google 网上论坛
• Node.js 博客

对此政策的评论

如果您对如何改进此过程有任何建议，请提交拉取请求或提交问题进行讨论。

OpenSSF 最佳实践

开源安全基金会 (OpenSSF) 最佳实践徽章是免费/自由和开源软件 (FLOSS) 项目展示其遵循最佳实践的一种方式。 项目可以自愿地自我证明他们如何遵循每个最佳实践。 徽章的使用者可以快速评估哪些 FLOSS 项目正在遵循最佳实践，因此更有可能生成更高质量的安全软件。