أعتقد أن فريق Discourse يمكنه تحسين الشفافية بشأن قضايا الأمان. آخر تقرير يذكر فقط:
تتضمن النسخة التجريبية إصلاحًا واحدًا لقضية أمان تم الإبلاغ عنها من قبل مجتمعنا ومن خلال HackerOne 8.
- تفضيل استخدام Loofah لمعالجة HTML المطبوخ
ولم أتمكن من العثور على التقرير المذكور في HackerOne.
من المثالي أن يتضمن إصدار النسخة رابطًا لتقرير HackerOne ودرجة خطورة قضية الأمان المعنية.
مرحبًا @core،
معلومات إصلاح الأمان غير مفصلة عمدًا. المواقع ترفع الإصدارات بسرعات مختلفة، وبينما نرغب في إخباركم بوجود إصلاح أمني، لا نرغب في تقديم تفاصيل تسمح للجهات الخبيثة باستغلاله بسهولة. إصلاح الأمان هو رسالة الالتزام، لذا يمكنك دائمًا الرجوع إلى مستودعنا على GitHub لرؤية التزامات الأمان ومراجعة تغييرات الكود إذا رغبت.
لا نجعل تقارير HackerOne الخاصة بنا عامة. فبينما سمحنا سابقًا للمتخصصين في الأمان بطلب الإفصاح عن تقاريرهم، توقفنا عن ذلك بسبب سوء الاستخدام الذي تعرضنا له بعد القيام بذلك في مناسبات متعددة.