Raportare de securitate

Pentru mai multe detalii despre politicile de securitate active, consultă această pagină.

Raportarea unei probleme în Node.js

Raportează problemele de securitate în Node.js prin HackerOne.

Raportul tău va fi confirmat în termen de 5 zile, iar în maximum 10 zile vei primi un răspuns detaliat care va indica pașii următori pentru procesarea sesizării tale.

După răspunsul inițial la raportarea ta, echipa de securitate va depune eforturi pentru a te ține la curent cu progresul făcut în vederea remedierii și a unei comunicări publice complete. De asemenea, este posibil să ți se solicite informații suplimentare sau îndrumări legate de problema raportată.

Programul de recompense pentru probleme în Node.js

Proiectul Node.js participă într-un program oficial de recompense pentru probleme identificate, destinat cercetătorilor în securitate și dezvăluirilor publice responsabile. Programul este gestionat prin platforma HackerOne. Vizitează https://hackerone.com/nodejs pentru mai multe detalii.

Raportarea unei probleme într-un modul terț

Problemele de securitate din modulele terțe ar trebui raportate direct celor care le întrețin.

Politica de dezvăluire

Aici se află Politica de dezvăluire a problemelor de securitate pentru Node.js

  • Raportul de securitate este primit și atribuit unui responsabil principal. Această persoană va coordona procesul de remediere și lansare. Problema este confirmată, iar o listă cu toate versiunile afectate este stabilită. Codul este verificat pentru a identifica eventuale probleme similare. Remedierile sunt pregătite pentru toate versiunile aflate încă în întreținere. Aceste remedieri nu sunt încărcate în repozitoriul public, ci sunt păstrate local până la anunțul oficial.

  • Se stabilește o dată limită pentru raportarea publică a acestei vulnerabilități, iar pentru aceasta se solicită un CVE (Vulnerabilități și expuneri comune (CVE®)).

  • La data stabilită pentru publicare, lista de corespondență pentru securitate Node.js primește o copie a anunțului. Modificările sunt încărcate în repozitoriul public, iar noile versiuni sunt distribuite pe nodejs.org. În termen de 6 ore de la notificarea listei de corespondență, o copie a buletinului informativ de securitate este publicată pe blogul oficial Node.js.

  • De obicei, data limită pentru publicare este stabilită la 72 de ore de la emiterea CVE-ului. Totuși, aceasta poate varia în funcție de gravitatea erorii sau de complexitatea aplicării unei soluții.

  • Acest proces poate dura ceva timp, mai ales când este necesară coordonarea cu întreținătorii altor proiecte. Se vor depune toate eforturile pentru a gestiona eroarea cât mai prompt posibil; totuși, este important să respectăm procesul de lansare menționat mai sus, pentru a ne asigura că dezvăluirea este gestionată într-un mod coerent.

Primirea actualizărilor de securitate

Notificările de securitate vor fi distribuite prin următoarele metode.

Comentarii referitoare la această politică

Dacă ai sugestii pentru îmbunătățirea acestui proces, te rog să trimiți o cerere de integrare sau să creezi un tichet pentru a iniția o discuție.

Recomandări OpenSSF

Insigna OpenSSF

Insigna de Bune Practici a Open Source Security Foundation (OpenSSF) oferă proiectelor Free/Libre și Open Source Software (FLOSS) o modalitate de a demonstra că respectă standardele de bune practici. Proiectele se pot auto-certifica voluntar, indicând modul în care urmează fiecare dintre aceste practici. Utilizatorii pot evalua rapid care proiecte FLOSS respectă bunele practici, ceea ce sugerează o probabilitate mai mare de a produce software securizat și de înaltă calitate.

Durată de citire
2 min.
Contribuie
Editează această pagină
Cuprins
  1. Raportarea unei probleme în Node.js
  2. Programul de recompense pentru probleme în Node.js
  3. Raportarea unei probleme într-un modul terț
  4. Politica de dezvăluire
  5. Primirea actualizărilor de securitate
  6. Comentarii referitoare la această politică
  7. Recomandări OpenSSF