セキュリティーレポート

最新のセキュリティーポリシーについてはこちらのページも確認してください。

Node.jsの問題の報告

Node.jsのセキュリティーに関する問題はHackerOneを通して報告してください。

あなたの報告は5日以内に受領され、10日以内に次のステップに関する詳しい回答が提供されます。

あなたの報告への最初の返信の後、セキュリティーチームは修正と最終的な発表に向けて進捗をお知らせします。また、報告された問題に関する追加情報やガイダンスを求める場合があります。

Node.jsの脆弱性報奨金制度

Node.jsプロジェクトはセキュリティー研究者と責任ある情報開示のために公式な脆弱性報奨金制度に参加しています。この制度はHackerOneプラットフォームを通して管理されています。詳細についてはhttps://hackerone.com/nodejsを確認してください。

サードパーティーモジュールの問題の報告

サードパーティーモジュールのセキュリティーに関する問題はそれぞれの管理者に報告する必要があります。

情報開示方針

こちらがNode.jsのセキュリティーに関する情報開示方針です。

報告されたセキュリティーの問題は受領されると、主担当者が割り当てられます。この主担当者は問題の修正やリリース工程を調整します。問題の確認が終わると影響を受けるすべてのバージョンの一覧が決まります。コードは潜在的に類似の問題がないか確認するために監査されます。これらの修正はメンテナンス中のすべてのバージョンへ適用するために準備されます。これらの修正は公開リポジトリーにコミットされることはなく、情報が発表されるまで内部で保持されます。

この脆弱性のために提案された禁止日が選択され、脆弱性に対してCVE(Common Vulnerabilities and Exposures(CVE®))が要求されます。

禁止日にはNode.jsのセキュリティーメーリングリストに発表される内容のコピーが送信されます。変更は公開リポジトリーにプッシュされ、新しいビルドはnodejs.orgにデプロイされます。メーリングリストが通知されてから6時間以内に勧告のコピーがNode.jsブログに公開されます。

通常、禁止日はCVEが発行されてから72時間に設定されます。ただし、これは問題の深刻度や修正の適用にかかる難易度によって異なる場合があります。

これらの工程には時間がかかる場合があります。特に他のプロジェクトの管理者との調整が必要な場合です。問題を可能な限り迅速に処理するためにあらゆる努力がなされます。ただし、情報の開示が一貫して処理されることを確保するために、上記のリリース工程に従うことが重要です。

セキュリティー更新の受信

セキュリティーの問題に関する情報は次の方法で通知されます。

Googleグループ Node.jsブログ

この方針に関するご意見

これらの工程を改善する方法についてご意見がある場合は、pull requestを作成するか、issueを作成して議論してください。

OpenSSFベストプラクティス

OpenSSFバッジ

オープンソースセキュリティー財団(OpenSSF)のベストプラクティスバッジは、Free/Libre and Open Source Software(FLOSS)プロジェクトがベストプラクティスに従っていることを示す方法です。プロジェクトはそれぞれのベストプラクティスに従っている方法を自発的に自己認証できます。バッジを使うことでどのFLOSSプロジェクトがベストプラクティスに従っているかを迅速に評価でき、結果としてより高品質で安全なソフトウェアを製造する可能性が高くなります。

所要時間
5 min read
編集への協力
このページを編集
目次
  1. Node.jsの問題の報告
  2. Node.jsの脆弱性報奨金制度
  3. サードパーティーモジュールの問題の報告
  4. 情報開示方針
  5. セキュリティー更新の受信
  6. この方針に関するご意見
  7. OpenSSFベストプラクティス