Rapport de sécurité
Pour plus de détails sur les politiques de sécurité active, consultez cette page.
Signaler une faille dans Node.js
Signalez les bogues de sécurité dans Node.js via HackerOne.
Normalement, votre signalement de bug sera pris en compte dans les 5 jours, et vous recevrez une réponse plus détaillée à votre soumission dans les 10 jours, indiquant les prochaines étapes du traitement de votre signalement. Ces délais peuvent être prolongés lorsque nos bénévoles chargés du triage sont en vacances, en particulier en fin d'année.
Après la réponse initiale à votre rapport, l'équipe de sécurité s'efforcera de vous tenir informé des progrès réalisés en vue d'un correctif et d'une annonce complète. vous tenir informé des progrès réalisés en vue d'une correction et d'une annonce complète, et pourra vous demander des informations supplémentaires ou des conseils sur le problème signalé. problème signalé.
Programme de primes aux bugs Node.js
Le projet Node.js s'engage dans un programme officiel de primes aux bogues pour les chercheurs en sécurité et les divulgations publiques responsables. et les divulgations publiques responsables. Le programme est géré par la plateforme la plateforme HackerOne. Voir https://hackerone.com/nodejs pour plus de détails.
Signaler un bogue dans un module tiers
Les bogues de sécurité dans les modules tiers doivent être signalés à leurs mainteneurs respectifs.
Politique de divulgation
Voici la politique de divulgation de la sécurité pour Node.js
-
Le rapport de sécurité est reçu et attribué à un responsable principal. Cette personne coordonnera le processus de correction et de publication. Le problème est validé pour toutes les versions Node.js prises en charge. Une fois confirmé, une liste de toutes les versions concernées est établie. Le code est audité afin de détecter tout problème similaire potentiel. Des correctifs sont préparés pour toutes les versions prises en charge. Ces correctifs ne sont pas enregistrés dans le référentiel public, mais conservés localement en attendant l'annonce.
-
Une date d'embargo est proposée pour cette vulnérabilité et un CVE (Common Vulnerabilities and Exposures (CVE®)) est demandé pour cette vulnérabilité. Vulnérabilités et expositions communes (CVE®) est demandé pour la vulnérabilité.
-
À la date d'embargo, une copie de l'annonce est envoyée à la liste de diffusion de sécurité Node.js. Les modifications sont poussées vers le référentiel public et de nouvelles versions sont déployées sur nodejs.org. Dans les 6 heures suivant la notification de la liste de diffusion, une copie de l'avis sera publiée sur le blog Node.js.
-
En règle générale, la date d'embargo est fixée à 72 heures à compter de la publication du CVE. Toutefois, cela peut varier en fonction de la gravité du bug ou de la difficulté à appliquer un correctif.
-
Ce processus peut prendre un certain temps, en particulier lorsque nous devons nous coordonner avec les responsables d'autres projets. Nous nous efforcerons de traiter le bogue aussi rapidement que possible ; toutefois, nous devons suivre le processus de publication ci-dessus afin de garantir une gestion cohérente de la divulgation.
Recevoir les alertes de sécurité
Les notifications de sécurité seront diffusées par les méthodes suivantes.
Commentaires sur cette politique
Si vous avez des suggestions pour améliorer ce processus, veuillez consulter le référentiel nodejs/security-wg.
OpenSSF Best Practices
Le [badge des meilleures pratiques] de l'Open Source Security Foundation (OpenSSF) (https://github.com/coreinfrastructure/best-practices-badge) est un moyen pour les projets de logiciels libres et open source (FLOSS) de montrer qu'ils suivent les meilleures pratiques. Les projets peuvent volontairement auto-certifier la manière dont ils suivent chaque meilleure pratique. Les utilisateurs du badge peuvent rapidement déterminer quels sont les projets FLOSS qui suivent les meilleures pratiques et qui sont donc plus susceptibles de produire des logiciels sécurisés de meilleure qualité.