セキュリティレポート

アクティブなセキュリティポリシーの詳細については、こちらのページをご覧ください。

Node.js でのバグの報告

Node.js のセキュリティバグは、HackerOne を通じて報告してください。

報告は5日以内に確認され、提出物の処理の次のステップを示す詳細な回答が10日以内に届きます。

報告に対する最初の返信後、セキュリティチームは修正と完全な発表に向けて進捗状況を知らせるよう努め、報告された問題に関する追加情報やガイダンスを求める場合があります。

Node.js バグ報奨金プログラム

Node.jsプロジェクトは、セキュリティ研究者および責任ある公開のための公式のバグ報奨金プログラムを実施しています。このプログラムは、HackerOneプラットフォームを通じて管理されています。詳細については、https://hackerone.com/nodejsを参照してください。

サードパーティモジュールのバグ報告

サードパーティモジュールのセキュリティバグは、それぞれのメンテナーに報告する必要があります。

開示ポリシー

以下はNode.jsのセキュリティ開示ポリシーです。

セキュリティレポートが受信され、プライマリハンドラーが割り当てられます。この担当者が修正とリリースプロセスを調整します。問題が確認され、影響を受けるすべてのバージョンのリストが決定されます。潜在的に同様の問題がないか、コードが監査されます。メンテナンス中のすべてのリリースに対して修正が準備されます。これらの修正は、パブリックリポジトリにはコミットされず、発表までローカルに保持されます。
この脆弱性に対して提案された公開停止日が選択され、脆弱性に対してCVE（共通脆弱性識別子（CVE®））が要求されます。
公開停止日に、Node.jsセキュリティメーリングリストに発表のコピーが送信されます。変更はパブリックリポジトリにプッシュされ、新しいビルドがnodejs.orgにデプロイされます。メーリングリストに通知されてから6時間以内に、アドバイザリのコピーがNode.jsブログに公開されます。
通常、公開停止日はCVEが発行されてから72時間後に設定されます。ただし、これはバグの重大度または修正の適用における困難さによって異なる場合があります。
このプロセスには時間がかかる可能性があり、特に他のプロジェクトのメンテナーとの調整が必要な場合はそうです。可能な限りタイムリーにバグを処理するようあらゆる努力が払われます。ただし、開示が一貫した方法で処理されるように、上記のリリースプロセスに従うことが重要です。

このポリシーに関するコメント

このプロセスを改善する方法について提案がある場合は、プルリクエストを送信するか、問題を提起して議論してください。

オープンソースセキュリティ基盤（OpenSSF）のベストプラクティスバッジは、フリー/リブレおよびオープンソースソフトウェア（FLOSS）プロジェクトがベストプラクティスに従っていることを示すための方法です。プロジェクトは、各ベストプラクティスにどのように従っているかを自主的に自己認証できます。バッジの消費者は、どのFLOSSプロジェクトがベストプラクティスに従っているかを迅速に評価でき、その結果、より高品質で安全なソフトウェアを生成する可能性が高くなります。