Hallo!
Wir hosten Discourse selbst und als Anforderung für unser Unternehmen führen wir Code-Scans durch. Wir haben viele Schwachstellen gefunden… HackerOne ist nicht der praktischste Weg, jedes der gefundenen Probleme zu melden. Was empfehlen Sie?
1 „Gefällt mir“
Von discourse/docs/SECURITY.md at main · discourse/discourse · GitHub
Wo melde ich Sicherheitsprobleme?
Um der Community Zeit zum Reagieren und Aktualisieren zu geben, bitten wir Sie dringend, alle Sicherheitsprobleme privat zu melden. Bitte nutzen Sie unser Programm zur Offenlegung von Schwachstellen bei Hacker One, um Details und Schritte zur Reproduktion anzugeben, und wir werden so schnell wie möglich antworten. Wenn Sie Hacker One nicht nutzen können, senden Sie uns eine E-Mail direkt an
team@discourse.orgmit Details und Schritten zur Reproduktion. Sicherheitsprobleme haben immer Vorrang vor Fehlerbehebungen und Feature-Arbeiten. Wir können und werden Releases als „dringend“ kennzeichnen, wenn sie wichtige Sicherheitspatches enthalten.Bitte beachten Sie: Aufgrund einer erheblichen Anzahl von qualitativ minderwertigen Sicherheitsberichten, die per E-Mail gesendet werden, werden wir wahrscheinlich nicht auf Sicherheitsberichte reagieren, die uns per E-Mail zugesandt werden, es sei denn, sie stammen von einer vertrauenswürdigen Quelle und enthalten Details zur Schwachstelle sowie Schritt-für-Schritt-Anleitungen zur Reproduktion. Theoretische Berichte ohne Proof of Concept werden nicht akzeptiert. Wir empfehlen Ihnen dringend, die Einreichungsprotokolle von Hacker One zu befolgen.
4 „Gefällt mir“
Scans von Standardwerkzeugen erzeugen eine absurde Menge an Fehlalarmen, auf die niemand seine Zeit verschwenden möchte.
Wenn Sie ein tatsächliches Problem gefunden haben, melden Sie es bitte über unsere Hacker-One-Seite, die hauptsächlich dazu dient, eine Ebene zu schaffen, die jeden Bericht validiert und sicherstellt, dass er nicht ungültig ist.
15 „Gefällt mir“