セキュリティーレポート

最新のセキュリティーポリシーについてはこちらのページも確認してください。

Node.jsの問題の報告

Node.jsのセキュリティーに関する問題はHackerOneを通して報告してください。

通常、報告は5日以内に確認され、詳細な回答を10日以内に回答します。その回答には報告の処理に関する次の手順が明記されます。これらのスケジュールは当団体のボランティアが休暇中である場合(特に年末の時期)、延長される可能性があります。

あなたの報告への最初の返信の後、セキュリティーチームは修正と最終的な発表に向けて進捗をお知らせします。また、報告された問題に関する追加情報やガイダンスを求める場合があります。

Node.jsの脆弱性報奨金制度

Node.jsプロジェクトはセキュリティー研究者と責任ある情報開示のために公式な脆弱性報奨金制度に参加しています。この制度はHackerOneプラットフォームを通して管理されています。詳細についてはhttps://hackerone.com/nodejsを確認してください。

サードパーティーモジュールの問題の報告

サードパーティーモジュールのセキュリティーに関する問題はそれぞれの管理者に報告する必要があります。

情報開示方針

こちらがNode.jsのセキュリティーに関する情報開示方針です。

  • セキュリティ報告書が受け付けられ、主担当者が割り当てられます。この 担当者は修正とリリースプロセスを調整します。問題はサポートされているすべてのNode.jsバージョンに対して検証されます。確認が完了すると、影響を受けるすべてのバージョンのリストが確定されます。コードは類似の問題が存在する可能性を調査するために監査されます。サポートされているすべてのリリース向けに修正が準備されます。これらの修正は公開リポジトリーにはコミットされず、発表までローカルで保持されます。

  • この脆弱性のために提案された禁止日が選択され、脆弱性に対してCVE(Common Vulnerabilities and Exposures(CVE®))が要求されます。

  • 公開禁止日において、発表文のコピーがNode.jsセキュリティメーリングリストに送信されます。変更内容は公開リポジトリーにプッシュされ、新しいビルドがnodejs.orgにデプロイされます。メーリングリストへの通知から6時間以内に勧告文のコピーがNode.jsのブログに公開されます。

  • 通常、公開禁止期間はCVEが発行された時点から72時間後に設定されます。ただし、バグの深刻度や修正の難易度によってはこの期間は変更される場合があります。

  • このプロセスには時間がかかる場合があります、特に他のプロジェクトのメンテナンス担当者と調整が必要な場合です。私たちはバグをできるだけ早く対応するよう努めますが、上記のリリースプロセスに従う必要があります。これにより情報の開示を一貫して処理できるようにするためです。

セキュリティ更新の受信

セキュリティの問題に関する情報は次の方法で通知されます。

この方針に関するご意見

このプロセスを改善するための意見がある場合はnodejs/security-wgリポジトリーに提案してください。

OpenSSFベストプラクティス

OpenSSFバッジ

オープンソースセキュリティー財団(OpenSSF)のベストプラクティスバッジは、Free/Libre and Open Source Software(FLOSS)プロジェクトがベストプラクティスに従っていることを示す方法です。プロジェクトはそれぞれのベストプラクティスに従っている方法を自発的に自己認証できます。バッジを使うことでどのFLOSSプロジェクトがベストプラクティスに従っているかを迅速に評価でき、結果としてより高品質で安全なソフトウェアを製造する可能性が高くなります。

所要時間
5 分
編集への協力
このページを編集
目次
  1. Node.jsの問題の報告
  2. Node.jsの脆弱性報奨金制度
  3. サードパーティーモジュールの問題の報告
  4. 情報開示方針
  5. セキュリティ更新の受信
  6. この方針に関するご意見
  7. OpenSSFベストプラクティス