Звітність про безпеку
Для детальнішої інформації про чинні норми безпеки, перейдіть на цю сторінку.
Повідомлення про помилку в Node.js
Повідомляйте про проблеми безпеки в Node.js через HackerOne.
Ваше повідомлення розглянуть протягом 5 днів, а протягом 10 днів ви отримаєте детальну відповідь, яка міститиме подальші кроки щодо обробки повідомлення.
Після першої відповіді на ваше повідомлення команда з безпеки намагатиметься тримати вас у курсі щодо прогресу в розв'язанні та оголошенні проблеми. У вас можуть попросити додаткову інформацію про повідомлену проблему чи надати рекомендації щодо неї.
Програма винагород за знайдені помилки від Node.js
Проєкт Node.js бере участь в офіційній програмі винагород за знайдені помилки для дослідників у галузі безпеки та відповідальних за оголошення інформації. Програма керується через платформу HackerOne. Перейдіть на https://hackerone.com/nodejs, щоб дізнатися більше.
Повідомлення про помилку в сторонніх модулях
Про помилки безпеки сторонніх модулів слід повідомляти їхніх супроводжувачів.
Політика розкриття інформації
Ось політика розкриття інформації щодо безпеки в Node.js
Основний обробник отримує повідомлення про помилку безпеки, яке йому призначається. Ця особа координуватиме процес виправлення помилки та релізу. Помилку знаходять та визначають усі версії, де вона присутня. Код перевіряють на наявність схожих помилок. Потім проводять виправлення для всіх обслуговуваних релізів. Ці виправлення не випускаються в публічний репозиторій, а зберігаються локально, поки не буде здійснено оголошення.
Обирається дата оголошення цієї вразливості та робиться запит на CVE (Common Vulnerabilities and Exposures (CVE®)) щодо неї.
У цю дату копію оголошення розсилають адресатам, які відповідають за безпеку Node.js. Зміни додаються до публічного репозиторію, а нові збірки — до nodejs.org. Протягом 6 годин після розсилки копію оголошення буде опубліковано в блозі Node.js.
Зазвичай датою оголошення є дата через 72 години після запиту на CVE. Однак вона може варіюватися залежно від серйозності помилки та складності її виправлення.
Цей процес може зайняти певний час, особливо тоді, коли потрібна координація із супроводжувачами інших проєктів. Усі зусилля будуть спрямовані на обробку помилки якомога швидше, однак для нас важливо дотримуватися процесу вище, щоб оголошення відбулося належним чином.
Отримання оновлень безпеки
Сповіщення, що стосуються безпеки, будуть поширюватися наступними методами:
Коментарі стосовно цієї політики
Якщо у вас є пропозиції щодо покращення цього процесу, створіть pull request або створіть issue для обговорення.
Найкращі практики OpenSSF
Значок за найкращі практики від Open Source Security Foundation (OpenSSF) — це спосіб для проєктів із відкритим кодом (Free/Libre and Open Source Software, FLOSS) показати, що вони дотримуються найкращих практик. Проєкти можуть самостійно описати, як вони дотримуються кожної практики. Користувачі можуть швидко оцінити, які проєкти FLOSS дотримуються найкращих практик і, як результат, створювати безпечне ПЗ кращої якості.