GitHub 上で編集

セキュリティ

脆弱性の報告

セキュリティに関わるバグは HackerOne を通じて Node.js に報告してください。

あなたの報告は24時間以内に確認され、48時間以内に問題の扱いやこれからのステップについての詳細を受け取ることができます。

あなたの報告への返信を行ったのちに、セキュリティチームはあなたに問題を解決するための修正に関する進捗報告、及びに詳細の発表に尽力します。状況によっては、問題の詳細や発生した環境などについてあなたに尋ねることもあります。これらの更新は5日おきに送信することになっていますが、実際は毎24-48時間以内に送られています。

Node.js 脆弱性報奨金プログラム

Node.js は、セキュリティ研究者と責任ある一般公開のための公式の脆弱性報奨金プログラムに取り組んでいます。

プログラムは HackerOne プラットフォーム https://hackerone.com/nodejs を通じて管理されています。さらなる詳細はリンクからご確認ください。

サードパーティのモジュールの脆弱性を報告する

サードパーティモジュールのセキュリティバグはそれぞれのメンテナに報告されるべきであり、また HackerOne の Node エコシステムセキュリティチームを通じて調整されるべきです。

このプロセスの詳細は セキュリティワーキンググループリポジトリ に記載されています。

Node.js とそのエコシステムのセキュリティを向上に協力いただきありがとうございます。あなたの努力と責任ある開示は大いに感謝されていて、認められるでしょう。

情報開示のポリシー

Node.js における、情報開示のポリシーをここに記します。

  • 脆弱性が報告されると、主要なメンバーがアサインされます。このメンバーは、修正とリリースのプロセスを調整します。脆弱性が確認されたら、影響のある全てのバージョンのリストを作成します。コードは、潜在的な同様の問題があるか精査されます。修正は、メンテナンスされている全てのバージョンに向けて用意されます。これらの修正は、正式なアナウンスを行うまでは公開リポジトリには追加されません。

  • CVE (Common Vulnerabilities and Exposures (CVE®)) により、脆弱性に関する情報解禁日が提案され、それを決定します。

  • 情報解禁日に、Node.js のメーリングリストに公式発表と同様のものが送信されます。修正済みのバージョンは、公開リポジトリに送信され、新しいビルドが nodejs.org に置かれます。メーリングリストに共有されてから6時間以内に、セキュリティ勧告を Node.js のブログにて行います。

  • 一般的に情報解禁日は、CVEに報告されてから72時間と設定されます。しかし、脆弱性を修正する複雑さによってはこの限りではありません。

  • このプロセスは他のプロジェクトの管理者との調整を必要とする際など、ときに時間を要することがあります。可能な限り迅速にバグを修正するために尽力するだけでなく、一貫性のあるプロセスで情報開示を行うために上記のリリースプロセスを従うこともまた重要です。

セキュリティリポートを受け取る

セキュリティリポートは、以下のサイトを介して報告されます。

このポリシーに関して提案をする

このプロセスを改善するための提案をお持ちの際は、プルリクエストを送るか、 イシュー にて報告をお願いします。

上部へスクロールする