Ciao!
Stiamo auto-ospitando Discourse e, come requisito per la nostra azienda, stiamo eseguendo scansioni del codice. Abbiamo trovato molte vulnerabilità… HackerOne non è il modo più pratico per segnalare ciascuno dei problemi che abbiamo trovato. Cosa consigli?
Da discourse/docs/SECURITY.md at main · discourse/discourse · GitHub
Dove devo segnalare i problemi di sicurezza?
Per dare alla community il tempo di rispondere e aggiornare, ti invitiamo vivamente a segnalare tutti i problemi di sicurezza privatamente. Utilizza il nostro programma di divulgazione delle vulnerabilità su Hacker One per fornire dettagli e passaggi per la riproduzione e ti risponderemo al più presto. Se non sei in grado di utilizzare Hacker One, inviaci un’e-mail direttamente a
team@discourse.orgcon dettagli e passaggi per la riproduzione. I problemi di sicurezza hanno sempre la precedenza sulle correzioni di bug e sul lavoro sulle funzionalità. Possiamo e contrassegniamo le release come “urgenti” se contengono correzioni di sicurezza importanti.Nota: A causa di un numero significativo di segnalazioni di sicurezza di bassa qualità inviate via e-mail, è improbabile che agiamo su segnalazioni di sicurezza inviateci via e-mail a meno che non provengano da una fonte attendibile e includano dettagli sulla vulnerabilità e istruzioni passo passo per riprodurla. Non sono accettate segnalazioni teoriche senza una prova di concetto. Ti consigliamo vivamente di seguire i protocolli di invio di Hacker One.
Le scansioni da strumenti commerciali producono un’assurda quantità di falsi positivi, su cui nessuno vuole perdere tempo.
Se hai trovato un problema effettivo, segnalalo tramite la nostra pagina Hacker One, che è in gran parte predisposta in modo che ci sia un livello che convalidi ogni segnalazione e garantisca che non siano non valide.