Edit on GitHub

الأمن

الإبلاغ عن ثغرة في الـ Node.js

قم بالتبليغ عن أي ثغرة في الـ Node.js عبر منصة HackerOne أو عبر مراسلة البريد الإلكتروني [email protected].

سيتم مراجعة تقريرك في غضون 24 ساعة، و ستتلقى إجابة مفصلة عن تقريرك في غضون 48 ساعة، حيث سترشدك هذه الإجابة إلى الخطوة التالية فيما يخص المعلومات التي أدليت بها.

بعد تلقيك الإجابة المبدئية عن تقريرك، سيُعلمك الفريق الأمني حول التطورات التي تحل فيما يخص إصلاح وإعلان الثغرة، كما قد يُطلب منك معلومات إضافية أو إرشادات حول المشكلة المُبلغ عنها. تُرسل هذه التحديثات من الفريق الأمني كل خمسة أيام على الأقل، و في الواقع، فإن هذا ما يحدث عادة كل 24 إلى 48 ساعة.

برنامج المكافآت الخاص بالـ Node.js

لدى الـ Node.js برنامج رسمي للمكافآت الأمنية، للباحثين الأمنيين ومكتشفي الثغرات عموما.

تتم إدارة هذا البرنامج عبر منصة HackerOne على https://hackerone.com/nodejs لتفاصيل أكثر.

الإبلاغ عن ثغرة في أحد وحدات الطرف الثالث

إن التبليغ عن الثغرات الأمنية في وحدات الأطراف الثالثة يكون إلى المسؤولين عن صيانة تلك الوحدات، كما يجب أن يتم ذلك بالتنسيق مع الفريق الأمني للنظام البيئي للـ Node.js أو عبر مراسلة [email protected].

للإطلاع على تفاصيل أكثر حول العملية، قم بزيارة مستودع مجموعة العمل الأمنية

شكرا لك لمساهمتك في تحسين الـ Node.js والنظام البيئي الخاص به. جهودك مقدرة و سيتم الاعتراف بها.

سياسة الكشف عن الثغرات الأمنية

تمثل النقاط الآتية سياسة الكشف عن الثغرات الأمنية الخاصة بالـ Node.js

  • يتم استقبال وتعيين شخص يتولى التقرير الأمني، حيث ستتمثل مهمته في التنسيق بين إصلاح الثغرة وموعد إصدار هذا الإصلاح. يتم تأكيد المشكلة وإعداد قائمة بكافة النسخ المتضررة من الثغرة، كما يتم فحص الشفرة لإيجاد أي مشاكل مشابهة محتملة، وبعد ذلك، يتم تحضير تلك الإصلاحات لجميع الإصدارات التي لا تزال قيد الصيانة. لا يتم إجراء هذه الإصلاحات على المستودعات العمومية (المفتوحة)، بل يتم ذلك على المستودعات المحلية في انتظار الإعلان عن الثغرة.

  • يتم الإتفاق على تاريخ مقترح للإعلان عن الثغرة، كما يتم طلب ما يسمى بـ CVE (Common Vulnerabilities and Exposures (CVE®)

  • في يوم الإعلان عن الثغرة، يتم إرسال نسخة من الإعلان إلى القائمة البريدية الأمنية للـ Node.js، كما يتم إجراء التغييرات على المستودعات المفتوحة ويتم رفع الإصدارات إلى موقع الـ nodejs.org. في غضون 6 ساعات من إعلام القائمة البريدية، سيتم نشر نسخة من التوجيه على مدونة الـ Node.js

  • عادة ما يتم تحديد تاريخ الإعلان عن الثغرة ليكون بعد 72 ساعة من تسوية الـ CVE، ولكن قد يختلف ذلك حسب مدى خطورة الثغرة ومدى صعوبة إصلاحها.

  • قد تأخذ هذه العملية بعضاً من الوقت، خصوصا عندما يتطلب الأمر تنسيقا مع الأشخاص المسؤولين عن صيانة مشاريع أخرى، ولكن سيتم بذل كافة الجهود لمعالجة الخلل بأسرع صورة ممكنة. من المهم معرفة أننا نتبع عملية الكشف عن الثغرة المبينة أعلاه لضمان أن إغلاق الثغرة يكون بصفة دائمة.

استقبال التحديثات الأمنية

يتم توزيع الإشعارات الأمنية باتباع الطرق التالية.

تعليقات على هذه السياسة

إذا كانت لديك اقتراحات حول كيفية تحسين هذه العملية، قم بإيداع طلب تعديل أو فتح مشكلة للنقاش.

إنتقل إلى الأعلى