Node.js — 安全性回報

安全性回報

如欲瞭解更多安全策略的相關資訊，請查看此頁面。

回報 Node.js 中的錯誤

你可以透過 HackerOne 回報 Node.js 的安全性錯誤。

你的報告將在 5 天內得到確認，並且將在 10 天內收到更詳細的回覆，說明後續的處理步驟。

在安全團隊針對你的報告做出初步回覆後，將會盡力通知你修復和完整公告的進展，也有可能要求提供與報告相關的額外資訊或指導。

Node.js 專案為安全研究人員和盡責公開揭露設立了官方漏洞獎勵計畫。該計畫透過 HackerOne 平台進行管理。詳情請見 https://hackerone.com/nodejs。

第三方模塊的錯誤應回報給其相應維護者。

下列為 Node.js 的安全揭露政策

安全報告接受後將指派給一位主要處理人。這位人員將會協調修復和釋出流程。當問題確認後，將整理出所有受影響的版本清單。隨後審核程式碼以排查任何潛在的類似問題。接著針對所有仍在維護中的版本提出修復方案。修復內容不會上傳至公開儲存庫，而是在等待公告期間暫時保存在本機。

針對該漏洞選定建議的解禁日期，並申請一組 CVE® (通用漏洞和揭露，Common Vulnerabilities and Exposures) 編號。

在保密日期截止當天，Node.js 安全郵件清單會收到公告的副本。變更內容將推送至公共儲存庫，同時新版本將部署到 nodejs.org。在郵件清單收到通知的 6 小時內，公告副本就會張貼在 Node.js 部落格上。

一般而言解禁日期會訂於 CVE 核發的 72 小時後，但仍可能依照漏洞的複雜度及部署的困難度而有變化。

整個流程需要耗費不少時間，尤其在需要與其他專案維護者協調的情況下更是如此。雖然我們會盡快處理漏洞，但我們仍須遵循上述釋出流程以貫徹揭露政策。