Edit on GitHub

Безпека

Повідомлення про помилки

Всі помилки, що стосуються безпеки в Node.js, серйозно беруться до уваги і повинні бути надіслані на [email protected]. Вони будуть передані відповідній підгрупі, яка займається питаннями безпеки.

Ваш лист буде розглянуто протягом 24 годин, а протягом 48–и годин вам буде надіслано більш деталізовану відповідь з вказівками щодо подальшої обробки вашого запиту.

Після першої відповіді на ваше повідомлення, команда безпеки буде тримати вас в курсі стосовно прогресу у вирішенні проблеми та може запитати вас додаткову інформацію, або інструкції стосовно повідомленої помилки. Ці оновлення будуть надсилатись принаймні раз в п’ять днів, на практиці, скоріш за все, кожні 24-48 годин.

Проблеми з безпекою в модулях сторонніх розробників повинні повідомлятись їхнім мейнтейнерам, а також можуть бути зкоординовані через Node Security Project.

Дякуємо вам, за покращення безпеки в Node.js. Ваші зусилля та відповідальність високо цінуються та будуть визнаними.

Розкриття політики

Ось політика розкриття безпеки для Node.js

  • Звіт про безпеку приймається і назначається основному обробнику. Ця людина координуватиме процес виправлення та релізу. Список всіх версій визначиться тоді, коли підтвердиться проблема, яку вони містять в собі. Код перевіряється для знаходження потенційних подібних проблем. Виправлення готуються для всіх релізів, що досі підтримуються. Ці виправлення не приймаються в публічний репозиторій, а скоріше зберігаються локально в очікуванні анонсу.

  • Обирається дата закриття цієї вразливості і стосовно неї запитується CVE (Common Vulnerabilities and Exposures (CVE®)).

  • У день закриття, поштове розсилання стосовно безпеки Node.js розсилає копії анонсу. Зміни передаються у публічний репозиторій і нові збірки розгортаються на nodejs.org. Протягом 6 годин після розсилки повідомлень, копію оголошення буде опубліковано у блозі Node.js.

  • Зазвичай дата закриття встановлюється протягом 72 годин від отримання CVE. Однак, це може залежати від серйозності помилки та складнощів стосовно її вирішення.

  • Цей процес може зайняти деякий час, особливо коли необхідна координація з мейнтейнерами інших проектів. Всі зусилля будуть спрямовані на те, щоб вирішити проблему настільки швидко, наскільки це можливо, однак, важливо, щоб ми дотримувались процесу релізу, щоб бути певними, що все відбувається належним чином.

Отримання оновлень безпеки

Сповіщення, що стосуються безпеки, будуть поширюватись за допомогою:

Коментарі стосовно цієї політики

Якщо ви маєте поради щодо вдосконалення цього процесу, будь ласка, надішліть pull request або напишіть лист на [email protected].

Вгору