セキュリティ報告

有効なセキュリティポリシーの詳細については、こちらのページをご覧ください。

Node.jsのバグを報告する

Node.jsのセキュリティバグはHackerOne経由で報告してください。

通常、報告は5日以内に受領され、10日以内に報告に対する詳細な返信があり、提出された内容を処理するための次のステップが示されます。これらのタイムラインは、特に年末など、私たちのトリアージボランティアが休暇中の場合に延長されることがあります。

報告に対する最初の返信後、セキュリティチームは修正と完全な告知に向けた進捗状況を常に報告するよう努めます。また、報告された問題に関する追加情報やガイダンスを求める場合があります。

Node.jsバグ報奨金プログラム

Node.jsプロジェクトは、セキュリティ研究者と責任ある公的情報開示のための公式なバグ報奨金プログラムに参加しています。このプログラムはHackerOneプラットフォームを通じて管理されています。詳細はhttps://hackerone.com/nodejsをご覧ください。

サードパーティモジュールのバグを報告する

サードパーティモジュールのセキュリティバグは、それぞれのメンテナーに報告してください。

情報開示ポリシー

以下はNode.jsのセキュリティ情報開示ポリシーです。

  • セキュリティ報告が受領されると、主担当者が割り当てられます。この担当者が修正とリリースのプロセスを調整します。問題は、サポートされているすべてのNode.jsバージョンに対して検証されます。確認されると、影響を受けるすべてのバージョンのリストが決定されます。コードは、潜在的に類似した問題がないか監査されます。サポートされているすべてのリリースに対して修正が準備されます。これらの修正は公開リポジトリにはコミットされず、告知が行われるまでローカルで保持されます。

  • この脆弱性に対する情報公開の禁止(エンバーゴ)日が提案され、脆弱性に対してCVE(共通脆弱性識別子、Common Vulnerabilities and Exposures (CVE®))が要求されます。

  • エンバーゴ日に、告知のコピーがNode.jsセキュリティメーリングリストに送信されます。変更は公開リポジトリにプッシュされ、新しいビルドがnodejs.orgにデプロイされます。メーリングリストに通知されてから6時間以内に、アドバイザリのコピーがNode.jsブログに公開されます。

  • 通常、エンバーゴ日はCVEが発行されてから72時間に設定されます。ただし、バグの深刻度や修正の適用難易度によって、これは異なる場合があります。

  • このプロセスには時間がかかることがあります。特に、他のプロジェクトのメンテナーと調整が必要な場合はそうです。私たちはできるだけ迅速にバグを処理しようとしますが、情報開示を一貫して処理するために、上記のリリースプロセスに従う必要があります。

セキュリティアップデートの受け取り

セキュリティ通知は以下の方法で配信されます。

このポリシーに関するコメント

このプロセスを改善するための提案がある場合は、nodejs/security-wgリポジトリをご覧ください。

OpenSSFベストプラクティス

OpenSSF Badge

オープンソースセキュリティ財団 (OpenSSF) のベストプラクティスバッジは、フリー/リブレ・オープンソースソフトウェア (FLOSS) プロジェクトがベストプラクティスに従っていることを示す方法です。プロジェクトは、各ベストプラクティスにどのように従っているかを自主的に自己認証できます。バッジの利用者は、どのFLOSSプロジェクトがベストプラクティスに従っているかを迅速に評価でき、その結果として、より高品質で安全なソフトウェアを生産する可能性が高いと判断できます。

読了時間
2分
コントリビュート
このページを編集
目次
  1. Node.jsのバグを報告する
  2. Node.jsバグ報奨金プログラム
  3. サードパーティモジュールのバグを報告する
  4. 情報開示ポリシー
  5. セキュリティアップデートの受け取り
  6. このポリシーに関するコメント
  7. OpenSSFベストプラクティス