Hola.
Estamos autoalojando Discourse y, como requisito para nuestra empresa, estamos ejecutando escaneos de código. Encontramos muchas vulnerabilidades… HackerOne no es la forma más práctica de informar sobre cada uno de los problemas que encontramos. ¿Qué nos recomiendan?
Desde discourse/docs/SECURITY.md at main · discourse/discourse · GitHub
¿Dónde debo informar sobre problemas de seguridad?
Para dar a la comunidad tiempo para responder y actualizar, le instamos encarecidamente a que informe de todos los problemas de seguridad de forma privada. Utilice nuestro programa de divulgación de vulnerabilidades en Hacker One para proporcionar detalles y pasos de reproducción y le responderemos lo antes posible. Si no puede utilizar Hacker One, envíenos un correo electrónico directamente a
team@discourse.orgcon los detalles y los pasos de reproducción. Los problemas de seguridad siempre tienen prioridad sobre la corrección de errores y el trabajo en nuevas funcionalidades. Podemos y marcamos las versiones como “urgentes” si contienen correcciones de seguridad importantes.Tenga en cuenta: Debido a un número significativo de informes de seguridad de baja calidad enviados por correo electrónico, es poco probable que actuemos sobre los informes de seguridad que se nos envían por correo electrónico a menos que provengan de una fuente de confianza e incluyan detalles sobre la vulnerabilidad e instrucciones paso a paso para reproducirla. No se aceptan informes teóricos sin una prueba de concepto. Le recomendamos encarecidamente que siga los protocolos de envío de Hacker One.
Los escaneos de herramientas listas para usar producen una cantidad absurda de falsos positivos, en los que nadie quiere perder el tiempo.
Si encontró un problema real, infórmelo a través de nuestra página de Hacker One, que existe principalmente para que haya una capa que valide cada informe y garantice que no sean inválidos.