安全漏洞报告

有关现行安全策略的更多详细信息，请查看此页面。

报告 Node.js 中的漏洞

请通过 HackerOne 报告 Node.js 中的安全漏洞。

注意：通过 HackerOne 提交报告需要至少 1.0 的 Signal（信誉）分值。如果您的 Signal 分值低于此阈值，请直接通过 OpenJS Foundation Slack 联系 Node.js 安全发布管理人员。

通常，您的报告将在 5 天内得到确认，并将在 10 天内收到关于报告的更详细回复，说明处理您提交内容的后续步骤。当我们的分类志愿者休假时（尤其是在年底），这些时间可能会延长。

在对您的报告进行初步回复后，安全团队将尽力让您了解修复进度和最终公告的进展情况，并可能就所报告的问题向您索取更多信息或建议。

Node.js 漏洞赏金计划

Node.js 项目参与了一项面向安全研究人员和负责任的公开披露的官方漏洞赏金计划。该计划通过 HackerOne 平台进行管理。详情请参阅 https://hackerone.com/nodejs。

报告第三方模块中的漏洞

第三方模块中的安全漏洞应直接报告给各自的维护者。

披露政策

以下是 Node.js 的安全披露政策

• 在收到安全报告后，会指派一名主要处理人。此人将协调修复和发布流程。该问题将在所有受支持的 Node.js 版本上进行验证。一旦确认，将确定所有受影响的版本列表。我们将对代码进行审计，以发现任何潜在的类似问题。我们会为所有受支持的版本准备修复程序。这些修复程序不会提交到公共存储库，而是会在发布公告之前在本地保留。

• 我们会为该漏洞选择一个建议的禁运日期，并为该漏洞申请 CVE（通用漏洞披露 (CVE®)）。

• 在禁运日期当天，公告副本会发送至 Node.js 安全邮件列表。更改会被推送到公共存储库，新的构建版本会部署到 nodejs.org。在通知邮件列表后的 6 小时内，建议书的副本将发布在 Node.js 博客上。

• 通常，禁运日期将设定为自 CVE 发布之日起 72 小时。然而，具体时间可能会因漏洞的严重程度或修复的难度而有所不同。

• 此流程可能需要一些时间，尤其是当我们由于需要与其他项目的维护者进行协调时。我们将尽量尽快处理漏洞；但是，我们必须遵循上述发布流程，以确保我们始终如一地处理披露事宜。

接收安全更新

安全通知将通过以下方式分发：

• Google Group (邮件组)
• Node.js 博客

关于此政策的建议

如果您对如何改进此流程有任何建议，请访问 nodejs/security-wg 存储库。

OpenSSF 最佳实践

开源安全基金会 (OpenSSF) 的 最佳实践徽章 (Best Practices badge) 是自由/开源软件 (FLOSS) 项目展示其遵循最佳实践的一种方式。项目可以自愿自我认证其如何遵循每项最佳实践。徽章的消费者可以快速评估哪些 FLOSS 项目遵循了最佳实践，从而更有可能生产出高质量的安全软件。