Salut !
Nous auto-hébergeons Discourse et, comme l’exige notre entreprise, nous effectuons des analyses de code. Nous avons trouvé de nombreuses vulnérabilités… HackerOne n’est pas le moyen le plus pratique de signaler chacun des problèmes que nous avons trouvés. Que recommandez-vous ?
From discourse/docs/SECURITY.md at main · discourse/discourse · GitHub
Où dois-je signaler les problèmes de sécurité ?
Afin de laisser à la communauté le temps de réagir et de mettre à niveau, nous vous prions instamment de signaler tous les problèmes de sécurité en privé. Veuillez utiliser notre programme de divulgation des vulnérabilités sur Hacker One pour fournir les détails et les étapes de reproduction, et nous vous répondrons dès que possible. Si vous ne pouvez pas utiliser Hacker One, envoyez-nous un e-mail directement à
team@discourse.orgavec les détails et les étapes de reproduction. Les problèmes de sécurité ont toujours la priorité sur les corrections de bugs et le développement de nouvelles fonctionnalités. Nous pouvons marquer et marquons les versions comme « urgentes » si elles contiennent des correctifs de sécurité importants.Veuillez noter : En raison d’un nombre important de rapports de sécurité de faible qualité envoyés par e-mail, il est peu probable que nous agissions sur les rapports de sécurité qui nous sont envoyés par e-mail, sauf s’ils proviennent d’une source fiable et incluent des détails sur la vulnérabilité et des instructions étape par étape pour la reproduire. Les rapports théoriques sans preuve de concept ne sont pas acceptés. Nous vous recommandons fortement de suivre les protocoles de soumission de Hacker One.
Les analyses effectuées par des outils prêts à l’emploi produisent une quantité absurde de faux positifs, sur lesquels personne ne veut perdre de temps.
Si vous avez trouvé un problème réel, veuillez le signaler via notre page Hacker One, qui est principalement en place afin qu’une couche valide chaque rapport et s’assure qu’ils ne sont pas invalides.