Я считаю, что команде Discourse можно было бы лучше работать над прозрачностью в вопросах безопасности. В последнем сообщении только сказано:
Эта бета-версия включает одно исправление безопасности для проблем, о которых сообщили наше сообщество и HackerOne 8.
- Использовать Loofah для обработки готового HTML.
Мне не удалось найти указанный отчёт на HackerOne.
В идеале релиз должен включать ссылку на отчёт HackerOne и указание серьёзности рассматриваемой проблемы безопасности.
Привет, @core,
Информация о исправлении уязвимости намеренно не содержит подробностей. Сайты обновляются с разной скоростью, и хотя мы хотим сообщить о том, что было выпущено исправление безопасности, мы не хотим предоставлять детали, чтобы злоумышленники не могли легко использовать уязвимость. Исправление безопасности отражено в сообщении о коммите, поэтому вы всегда можете посмотреть наш репозиторий на GitHub для поиска коммитов по безопасности и увидеть изменения в коде, если хотите.
Мы не публикуем наши отчёты HackerOne. Хотя ранее мы разрешали хакерам запрашивать раскрытие их отчётов, из-за злоупотреблений, с которыми мы столкнулись после этого в нескольких случаях, мы прекратили эту практику.