Звітність про безпеку

Для детальнішої інформації про чинні норми безпеки перейдіть на цю сторінку.

Повідомлення про помилку в Node.js

Повідомляйте про проблеми безпеки в Node.js через HackerOne.

Зазвичай ваше повідомлення приймуть протягом 5 днів, а протягом 10 днів ви отримаєте детальнішу відповідь до нього з описом наступних кроків щодо його обробки. Ці терміни можуть розширюватися, коли наші волонтери, які обробляють повідомлення, у відпустці, особливо наприкінці року.

Після першої відповіді на ваше повідомлення команда з безпеки намагатиметься тримати вас у курсі щодо прогресу в розв'язанні та оголошенні проблеми. У вас можуть попросити додаткову інформацію про повідомлену проблему чи надати рекомендації щодо неї.

Програма винагород за знайдені помилки від Node.js

Проєкт Node.js бере участь в офіційній програмі винагород за знайдені помилки для дослідників у галузі безпеки та відповідальних за оголошення інформації. Програма керується через платформу HackerOne. Перейдіть на https://hackerone.com/nodejs, щоб дізнатися більше.

Повідомлення про помилку в сторонніх модулях

Про помилки безпеки сторонніх модулів слід повідомляти їхніх супроводжувачів.

Політика розкриття інформації

Ось політика розкриття інформації щодо безпеки в Node.js

  • Основний обробник отримує повідомлення про помилку безпеки, яке йому призначається. Ця особа координуватиме процес виправлення помилки та релізу. Помилку шукають по всіх підтримуваних версіях Node.js. Коли її знаходять, визначають усі версії, де вона присутня. Код перевіряють на наявність схожих помилок. Потім проводять виправлення для всіх підтримуваних релізів. Ці виправлення не випускаються в публічний репозиторій, а зберігаються локально, поки не буде здійснено оголошення.

  • Обирається дата оголошення цієї вразливості та робиться запит на CVE (Common Vulnerabilities and Exposures, CVE®) щодо неї.

  • У цю дату копію оголошення розсилають адресатам, які відповідають за безпеку Node.js. Зміни додаються до публічного репозиторію, а нові збірки — до nodejs.org. Протягом 6 годин після розсилки копія оголошення публікується в блозі Node.js.

  • Зазвичай датою оголошення є дата через 72 години після запиту на CVE. Однак вона може варіюватися залежно від серйозності помилки та складності її виправлення.

  • Цей процес може зайняти певний час, особливо тоді, коли потрібна координація із супроводжувачами інших проєктів. Ми намагатимемося виправити помилку якомога швидше, проте ми повинні дотримуватися вищевказаного процесу релізу, щоб оголошення відбулося належно.

Отримання оновлень безпеки

Сповіщення, що стосуються безпеки, будуть поширюватися наступними методами:

Коментарі стосовно цієї політики

Якщо ви маєте пропозиції щодо покращення цього процесу, відвідайте репозиторій nodejs/security-wg.

Найкращі практики OpenSSF

Значок OpenSSF

Значок за найкращі практики від Open Source Security Foundation (OpenSSF) — це спосіб для проєктів із відкритим кодом (Free/Libre and Open Source Software, FLOSS) показати, що вони дотримуються найкращих практик. Проєкти можуть самостійно описати, як вони дотримуються кожної практики. Користувачі можуть швидко оцінити, які проєкти FLOSS дотримуються найкращих практик і, як результат, створювати безпечне ПЗ кращої якості.

Час на читання
2 хв
Долучитися
Редагувати цю сторінку
Зміст
  1. Повідомлення про помилку в Node.js
  2. Програма винагород за знайдені помилки від Node.js
  3. Повідомлення про помилку в сторонніх модулях
  4. Політика розкриття інформації
  5. Отримання оновлень безпеки
  6. Коментарі стосовно цієї політики
  7. Найкращі практики OpenSSF