关于安全问题严重性的更大透明度

core · 2021 年4 月 2 日 12:34

我认为 Discourse 团队在安全问题的透明度方面可以做得更好。最近一次更新仅提到：

此测试版包含一项针对社区和 HackerOne 8 报告的安全问题的修复。

优先使用 Loofah 处理已渲染的 HTML

但我未能在 HackerOne 上找到相关报告。

理想情况下，发布说明应包含指向 HackerOne 报告的链接，并说明该安全问题的严重程度。

jomaxro · 2021 年4 月 2 日 14:55

嘿 @core，

安全修复的信息故意不详细。各网站的升级速度不同，我们虽然希望告知存在安全修复，但不愿提供细节，以免恶意行为者轻易利用。安全修复的具体内容体现在提交信息中，因此如果您愿意，可以随时查看我们的 GitHub 仓库以了解相关安全提交及代码变更。

我们不会公开 HackerOne 报告。虽然过去我们曾允许黑客申请披露其报告，但由于多次因此遭受滥用，我们已停止该做法。

话题		回复	浏览量
Security issues from automated scans Support	2	129	2024 年10 月 15 日
Security report from third-party researcher Support	9	169	2025 年11 月 27 日
Any release notes (not just commit log) available? Support	6	1000	2019 年4 月 23 日
Responsible Disclosure Support	5	1222	2018 年10 月 29 日
3.0.0.beta16: Security release Announcements release-notes	0	1578	2023 年1 月 5 日