أهلاً!
نحن نستضيف Discourse بأنفسنا، وكشرط لشركتنا، نقوم بإجراء عمليات فحص للكود. وجدنا الكثير من الثغرات الأمنية… HackerOne ليست الطريقة العملية لتقديم كل مشكلة وجدناها. ماذا توصي؟
إعجاب واحد (1)
من discourse/docs/SECURITY.md at main · discourse/discourse · GitHub
أين يجب أن أبلغ عن المشكلات الأمنية؟
لإعطاء المجتمع وقتًا للاستجابة والترقية، نحثك بشدة على الإبلاغ عن جميع المشكلات الأمنية بشكل خاص. يرجى استخدام برنامج الكشف عن الثغرات الأمنية لدينا في Hacker One لتقديم التفاصيل وخطوات إعادة الإنتاج وسوف نستجيب في أقرب وقت ممكن. إذا لم تتمكن من استخدام Hacker One، راسلنا مباشرة على
team@discourse.orgمع التفاصيل وخطوات إعادة الإنتاج. تأخذ المشكلات الأمنية دائمًا الأسبقية على إصلاحات الأخطاء وعمل الميزات. يمكننا، ونقوم، بتمييز الإصدارات على أنها “عاجلة” إذا كانت تحتوي على إصلاحات أمنية خطيرة.يرجى ملاحظة: نظرًا لعدد كبير من التقارير الأمنية ذات الجودة المنخفضة المرسلة عبر البريد الإلكتروني، فمن غير المرجح أن نتصرف بناءً على التقارير الأمنية المرسلة إلينا عبر البريد الإلكتروني ما لم تأتِ من مصدر موثوق، وتتضمن تفاصيل حول الثغرة وتعليمات خطوة بخطوة لإعادة إنتاجها. لا يتم قبول التقارير النظرية بدون إثبات للمفهوم. نوصي بشدة باتباع بروتوكولات تقديم Hacker One.
4 إعجابات
تنتج عمليات الفحص من الأدوات الجاهزة كمية هائلة من النتائج الإيجابية الخاطئة، والتي لا يرغب أحد في إضاعة الوقت عليها.
إذا وجدت مشكلة فعلية، فيرجى الإبلاغ عنها عبر صفحة Hacker One الخاصة بنا، والتي تم إنشاؤها في الغالب لتكون هناك طبقة تتحقق من كل تقرير وتضمن عدم بطلانه.
15 إعجابًا