பாதுகாப்பு அறிக்கை

செயலில் உள்ள பாதுகாப்பு கொள்கைகள்பற்றிய கூடுதல் விவரங்களுக்கு, இந்தப் பக்கத்தை பார்வையிடவும்.

Node.js-இல் ஒரு பிழையைப் புகாரளித்தல்

Node.js-இல் உள்ள பாதுகாப்புப் பிழைகளை HackerOne மூலம் தெரிவிக்கவும்.

பொதுவாக, உங்கள் அறிக்கை 5 நாட்களுக்குள் ஒப்புக்கொள்ளப்படும். மேலும் 10 நாட்களுக்குள் உங்கள் சமர்ப்பிப்பைக் கையாளுவதற்கான அடுத்தகட்ட நடவடிக்கைகள் குறித்த விரிவான பதில் உங்களுக்கு வழங்கப்படும். எமது தன்னார்வலர்கள் விடுமுறையில் இருக்கும் காலங்களில் குறிப்பாக ஆண்டின் இறுதியில் இந்த காலக்கெடு நீட்டிக்கப்படலாம்.

உங்கள் அறிக்கைக்கு ஆரம்பகட்ட பதில் அளித்த பிறகு, பாதுகாப்புப் பிரச்சனையைச் சரிசெய்வது மற்றும் அது குறித்த முழுமையான அறிவிப்பை வெளியிடுவது போன்ற முன்னேற்றங்கள் குறித்து பாதுகாப்பு குழு உங்களுக்குத் தெரிவிக்கும். மேலும், தெரிவிக்கப்பட்ட சிக்கல் குறித்து கூடுதல் தகவல்களையும் வழிகாட்டலையும் அவர்கள் உங்களிடம் கேட்கலாம்.

Node.js பக் பவுண்டி திட்டம்

Node.js திட்டம், பாதுகாப்பு ஆராய்ச்சியாளர்கள் மற்றும் பொறுப்பான பொது வெளிப்படுத்தல்களுக்காக ஓர் அதிகாரப்பூர்வமான பக் பவுண்டி திட்டத்தை முன்னெடுக்கிறது. இந்தத் திட்டம் HackerOne தளம் மூலம் நிர்வகிக்கப்படுகிறது. இது குறித்த கூடுதல் விவரங்களுக்கு https://hackerone.com/nodejs என்ற பக்கத்தைப் பார்வையிடவும்.

மூன்றாம் தரப்பு மாட்யூலில் உள்ள பிழையைத் தெரிவித்தல்

மூன்றாம் தரப்பு மாட்யூல்களில் உள்ள பாதுகாப்புப் பிழைகள் அந்தந்த மாட்யூல் பராமரிப்பாளர்களிடமே தெரிவிக்கப்பட வேண்டும்.

வெளிப்படுத்தும் கொள்கை

Node.js-க்கான பாதுகாப்பு வெளிப்படுத்தும் கொள்கை இங்கே கொடுக்கப்பட்டுள்ளது

பாதுகாப்பு அறிக்கை பெறப்பட்டதும், அதைச் சரிசெய்ய ஒரு முதன்மை கையாளுபவர் நியமிக்கப்படுவார். இந்த நபர் திருத்தப்பணிகள் மற்றும் வெளியீட்டுச் செயல்முறையை ஒருங்கிணைப்பார். இந்தப் பிரச்சனை ஆதரவு நிலையிலுள்ள அனைத்து Node.js பதிப்புகளிலும் சரிபார்க்கப்படும். உறுதிப்படுத்தப்பட்டவுடன், பாதிக்கப்பட்ட பதிப்புகளின் பட்டியல் தீர்மானிக்கப்படும். இதே போன்ற பிற சிக்கல்கள் ஏதேனும் உள்ளதா என்பதைக் கண்டறிய குறியீடுகள் தணிக்கை செய்யப்படும். ஆதரவு நிலையிலுள்ள அனைத்து வெளியீடுகளுக்கும் திருத்தங்கள் தயார் செய்யப்படும். இந்தத் திருத்தங்கள் பொதுக் களஞ்சியத்தில் உடனே சேர்க்கப்படாமல், அதிகாரப்பூர்வ அறிவிப்பு வரும் வரை ரகசியமாக வைக்கப்படும்.
இந்தப் பாதிப்புகுறித்த தகவலைப் பொதுமக்களுக்கு வெளியிடுவதற்கான ஒரு தேதி பரிந்துரைக்கப்படும் மற்றும் இதற்கான CVE (Common Vulnerabilities and Exposures (CVE®)) கோரப்படும்.
குறிக்கப்பட்ட தேதியில், இதற்கான அறிவிப்பு Node.js பாதுகாப்பு மின்னஞ்சல் குழுவிற்கு அனுப்பப்படும். மாற்றங்கள் பொதுக் களஞ்சியத்தில் பதிவேற்றப்பட்டு, புதிய பதிப்புகள் nodejs.org தளத்தில் வெளியிடப்படும். மின்னஞ்சல் குழுவிற்கு அறிவிக்கப்பட்ட 6 மணி நேரத்திற்குள், Node.js பிளாக்கில் இது குறித்த விரிவான அறிக்கை வெளியிடப்படும்.
பொதுவாக, CVE வழங்கப்பட்ட 72 மணி நேரத்திற்குப் பிறகு இந்தத் தேதி நிர்ணயிக்கப்படும். இருப்பினும், பிழையின் தீவிரம் அல்லது திருத்தத்தைப் பயன்படுத்துவதில் உள்ள சிக்கலைப் பொறுத்து இது மாறுபடலாம்.
இந்தச் செயல்முறை முடிவடையச் சிறிது காலம் எடுக்கலாம், குறிப்பாக மற்ற திட்டங்களின் பராமரிப்பாளர்களுடன் நாங்கள் ஒருங்கிணைந்து செயல்பட வேண்டியிருக்கும் போது தாமதமாகலாம். பிழையை எவ்வளவு விரைவாகக் கையாள முடியுமோ அவ்வளவு விரைவாகச் செய்ய முயல்வோம்; எவ்வாறாயினும், தகவல்களை வெளிப்படுத்துவதில் நிலைத்தன்மையை உறுதிப்படுத்த மேலே உள்ள வெளியீட்டுச் செயல்முறையை நாங்கள் பின்பற்ற வேண்டும்.

பாதுகாப்பு புதுப்பிப்புகளைப் பெறுவதற்கு

பாதுகாப்பு அறிவிப்புகள் பின்வரும் முறைகள்மூலம் விநியோகிக்கப்படும்.

இந்தக் கொள்கைகுறித்த கருத்துகள்

இந்தச் செயல்முறையை எவ்வாறு மேம்படுத்தலாம் என்பது குறித்து உங்களிடம் ஆலோசனைகள் இருந்தால், தயவுசெய்து nodejs/security-wg களஞ்சியத்தைப் பார்வையிடவும்.

OpenSSF சிறந்த நடைமுறைகள்

Open Source Security Foundation (OpenSSF) வழங்கும் Best Practices badge என்பது, இலவச மற்றும் திறந்த மூல மென்பொருள்(FLOSS) திட்டங்கள் தாங்கள் சிறந்த நடைமுறைகளைப் பின்பற்றுவதை வெளிப்படுத்துவதற்கான ஒரு வழியாகும். இத்திட்டங்கள் ஒவ்வொன்றிலும் தாங்கள் எவ்வாறு சிறந்த நடைமுறைகளைப் பின்பற்றுகிறோம் என்பதை அந்தந்த மென்பொருள் குழுக்களே முன்வந்து சுய-சான்றளிக்க முடியும். இந்தச் சின்னத்தைப் பார்ப்பதன் மூலம், பயனர்கள் எந்தெந்த திட்டங்கள் சரியான வழிமுறைகளைப் பின்பற்றுகின்றன என்பதை விரைவாக மதிப்பிட முடியும். இதன் விளைவாக, அத்தகைய FLOSS திட்டங்கள் உருவாக்குவதற்கான வாய்ப்புகள் அதிகம் உள்ளன.