| title | گزارش امنیتی |
|---|---|
| layout | about |
برای جزئیات بیشتر در مورد سیاستهای امنیتی فعال، این صفحه را بررسی کنید.
برای گزارش باگهای امنیتی در Node.js از HackerOne استفاده کنید.
گزارش شما طی ۵ روز تایید خواهد شد و شما ظرف ۱۰ روز پاسخی با جزئیات بیشتر حاوی مراحل بعدی در بررسی گزارشتان را دریافت خواهید کرد.
پس از پاسخ اولیه به گزارش شما، تیم امنیتی تلاش خواهد کرد تا شما را از پیشرفتهای صورت گرفته در جهت رفع مشکل و اعلام نهایی آگاه کند، و ممکن است درخواست اطلاعات یا راهنمایی بیشتری در مورد مشکل گزارش شده داشته باشد.
پروژه Node.js در یک برنامه رسمی پاداش کشف باگ برای محققان امنیتی و افشای مسئولانه در فضای عمومی مشارکت دارد. این برنامه از طریق پلتفرم HackerOne مدیریت میشود. برای اطلاعات بیشتر به https://hackerone.com/nodejs مراجعه کنید.
باگهای امنیتی در ماژولهای شخص ثالث باید به نگهدارندگان مربوطه گزارش شوند.
سیاست افشاگری امنیتی برای Node.js :
-
گزارش امنیتی دریافت و یک کنترل کننده اصلی به آن اختصاص داده میشود. این شخص فرایند رفع مشکل و انتشار را هماهنگ میکند. مشکل تایید و لیستی از تمام نسخههای تاثیرپذیر تعیین میشود. کد برای یافتن هرگونه مشکل مشابه بالقوه دیگر بررسی میشود. رفعها برای تمام نسخههایی که هنوز تحت پشتیبانی هستند آماده میشوند. این رفعها به مخزن عمومی ارسال نمیشوند بلکه به صورت محلی نگهداری میشوند تا زمان اعلام فرا برسد.
-
یک تاریخ محرمانگی پیشنهادی برای این آسیبپذیری انتخاب میشود و یک CVE (آسیبپذیریها و مواجهههای رایج مشترک) برای آسیبپذیری درخواست میشود.
-
در تاریخ محرمانگی، کپی اطلاعیه به لیست ایمیل امنیتی Node.js ارسال میشود. تغییرات به مخزن عمومی ارسال و نسخههای جدید در nodejs.org منتشر میشوند. در عرض 6 ساعت از اطلاعرسانی به لیست ایمیل، کپیای از اطلاعیه در بلاگ Node.js منتشر خواهد شد.
-
معمولاً تاریخ محرمانگی 72 ساعت پس از صدور CVE تنظیم میشود. با این حال، ممکن است بر اساس شدت باگ یا دشواری در اعمال رفع تغییر کند.
-
این فرایند ممکن است زمانبر باشد، به ویژه زمانی که هماهنگی با نگهدارندگان پروژههای دیگر نیز مورد نیاز باشد. تلاش خواهد شد تا باگ در سریعترین زمان ممکن برطرف شود؛ با این حال، مهم است که ما از فرایند انتشار بالا پیروی کنیم تا اطمینان حاصل شود که افشاگری به شیوهای یکپارچه انجام میشود.
اطلاعیههای امنیتی از طریق روشهای زیر توزیع خواهند شد:
اگر پیشنهادی برای بهبود این فرایند دارید، لطفاً یک pull request ارسال کنید یا یک issue جدید ایجاد نمایید تا آن را بررسی کنیم.
<a href="https://bestpractices.coreinfrastructure.org/projects/29" style={{ display: 'inline-flex' }}> <img alt="نشان OpenSSF" src="https://bestpractices.coreinfrastructure.org/projects/29/badge" style={{ display: 'inline' }} />
نشان بهترین شیوه ها بنیاد امنیت متن باز (OpenSSF) راهی است برای پروژههای نرمافزار آزاد/رایگان و متن باز (FLOSS) تا نشان دهند که از رویههای بهینه پیروی میکنند. پروژهها میتوانند به صورت داوطلبانه خود تأیید کنند که چگونه از هر رویه بهینه پیروی میکنند. مصرفکنندگان این نشان میتوانند به سرعت ارزیابی کنند که کدام پروژههای FLOSS از رویههای بهینه پیروی میکنند و در نتیجه احتمال بیشتری دارد که نرمافزارهای امن با کیفیت بالاتر تولید کنند.