Reportes de Seguridad

Para más detalles de las Políticas de Seguridad activas, revise esta página.

Reportando errores en Node.js

Reporta errores de seguridad de Node.js atreves de HackerOne.

Su informe será reconocido dentro de 5 días, y recibirás una respuesta más detallada a tu informe dentro de 10 días donde indicara los próximos pasos para manejar su entrega.

Después de la respuesta inicial a tu informe, el equipo de seguridad se esforzará por mantenerte informado sobre el progreso hacia una solución y el anuncio completo, y puede solicitar información adicional u orientación sobre el problema reportado.

Programa de recompensas por errores de Node.js

El proyecto Node.js participa en un programa oficial de recompensas por errores para investigadores de seguridad y divulgaciones públicas responsables. El programa se gestiona a través de la plataforma HackerOne. Consulte https://hackerone.com/nodejs por más detalles.

Reportar un error en un módulo de terceros

Los errores de seguridad dentro de módulos de terceros deben ser reportados a sus respectivos mantenedores.

Política de divulgación

Aquí está la política de divulgación de seguridad para Node.js:

El informe de seguridad es recibido y se asigna a un responsable principal. Esta persona coordinará el proceso de corrección y lanzamiento. El problema es confirmado y se determina una lista de todas las versiones afectadas. Se audita el código para encontrar posibles problemas similares. Se preparan correcciones para todas las versiones que aún están en mantenimiento. Estas correcciones no se comprometen al repositorio público, sino que se mantienen localmente a la espera del anuncio.

Se elige una fecha de embargo sugerida para esta vulnerabilidad y un CVE (Vulnerabilidades y Exposiciones Comunes (CVE®)) será solicitado para la vulnerabilidad.

En la fecha de embargo, se envía una copia del anuncio a la lista de correo de seguridad de Node.js. Los cambios se suben al repositorio público y se despliegan nuevas versiones en nodejs.org. Dentro de las 6 horas posteriores a que se notifique a la lista de correo, se publicará una copia del aviso en el blog de Node.js.

Típicamente la fecha de embargo será fijada 72 horas desde la creación del CVE. Sin embargo, esto puede variar dependiendo de la severidad del error o la dificultad en aplicar la solución.

Este proceso puede tomar algún tiempo, especialmente cuando se requiere coordinación con los mantenedores de otros proyectos. Cada esfuerzo posible se hará para encargarse del error en la forma más oportuna posible, sin embargo, es importante que sigamos el proceso descrito arriba, para asegurarse que la divulgación sea manejada de una manera consistente.

Recibiendo actualizaciones de seguridad

Las notificaciones de seguridad se distribuirán mediante los siguientes métodos.

Grupo de Google Blog de Node.js

Comentarios sobre esta política

Si tienes sugerencias sobre cómo podría mejorarse este proceso, por favor, envía una pull request o rellena un issue para discutirlo.

Mejores Prácticas de la OpenSSF

Insignia OpenSSF

La Insignia de Buenas Prácticas de la Fundación de Seguridad del Software Abierto (OpenSSF) es una manera en que los proyectos de Software Libre y de Código Abierto (FLOSS) pueden mostrar que siguen las mejores prácticas. Los proyectos pueden auto-certificarse voluntariamente sobre cómo siguen cada buena práctica. Los consumidores de la insignia pueden evaluar rápidamente qué proyectos FLOSS siguen las mejores prácticas y, como resultado, tienen más probabilidades de producir software seguro de alta calidad.

Tiempo de Lectura
3 min read
Contribuir
Edit this page
Tabla de Contenidos
  1. Reportando errores en Node.js
  2. Programa de recompensas por errores de Node.js
  3. Reportar un error en un módulo de terceros
  4. Política de divulgación
  5. Recibiendo actualizaciones de seguridad
  6. Comentarios sobre esta política
  7. Mejores Prácticas de la OpenSSF