安全报告

有关活动安全策略的更多详细信息，请查看此页面。

向 Node.js 报告漏洞

通过 HackerOne 报告 Node.js 的安全漏洞。

通常情况下，您的报告将在 5 天内收到确认，并将在 10 天内收到更详细的回复，其中会说明处理您提交报告的后续步骤。当我们负责分派的志愿者们在休假时，这些时限可能会顺延，特别是年终期间。

在对您的报告进行初步回复后，安全团队将努力让您了解修复工作的进展情况和完整公告，并可能会要求提供有关报告问题的额外信息或指导。

Node.js 项目为安全研究人员和负责任的公开披露提供官方漏洞赏金计划。该计划通过 HackerOne 平台进行管理。更多详细信息请参阅 https://hackerone.com/nodejs。

第三方模块中的安全漏洞应该报告给他们各自的维护者。

这是 Node.js 的安全问题通报规则

安全报告将在接收后被分配给一个主要负责人，负责人将会协调修复和发布的过程。当问题在所有受支持的 Node.js 版本中被验证后，会确定受影响的版本列表，审核所有代码以排除类似的潜在问题，并为所有受支持的版本创建修复补丁，这些补丁会被搁置直到下次发布。
为此漏洞选择了建议禁运日期，并且为此漏洞提出 (CVE®))（常见漏洞暴露）请求。
当到达截止日期时，公告会被抄送到 Node.js 的安全邮件地址列表。同时，所有更改将会被推送到公开仓库，并在触发新的版本构建后部署到 nodejs.org， 6 小时内，问题信息将会被同步到 Node.js 博客上。
通常来说，截止日期将被设置在发现 CVE 漏洞后的 72 个小时内，但这将会取决于问题的严重程度及修复难度。
该过程需要一定时间，特别是需要与其他项目的维护者协调时。我们将会尽快尝试解决该问题，但是我们必须遵守该流程以确保处理类似问题时的一致性。

安全通知将通过以下方式分发。

如果您有关于该流程的改进建议，请访问 nodejs/security-wg 存储仓库。

开源安全基金会（OpenSSF）最佳实践徽章是自由/自由和开源软件（FLOSS）项目展示他们遵循最佳实践的一种方式。项目可以自愿地自我认证他们如何遵循每个最佳实践。徽章的使用者可以快速评估哪些 FLOSS 项目正在遵循最佳实践，因此更有可能产生更高质量的安全软件。