Discourse チームは、セキュリティ問題に関する透明性について、より一層の改善が図れると私は考えます。直近のリリースでは、次のように記載されているだけです:
このベータ版には、コミュニティおよび HackerOne 8 から報告された問題に対する 1 つのセキュリティ修正が含まれています。
- 処理済みの HTML の処理には Loofah を優先して使用する
しかし、HackerOne 上でその報告を見つけることができませんでした。
理想的には、リリースには HackerOne のレポートへのリンクと、対象となるセキュリティ問題の重大度が明記されるべきです。
@core へ、
セキュリティ修正に関する情報は意図的に詳細を省いています。サイトによってアップグレードの速度が異なるため、セキュリティ修正があったことを共有しつつも、悪意のある攻撃者が容易に脆弱性を悪用できないよう、詳細は公開していません。セキュリティ修正の内容はコミットメッセージに含まれているため、必要に応じて GitHub リポジトリ でセキュリティ関連のコミットを確認し、コードの変更点をご覧いただけます。
HackerOne のレポートは公開していません。以前はハッカーがレポートの開示を請求することを認めていましたが、その結果として複数の事例で乱用が起きたため、その制度は廃止しました。