こんにちは!
Discourse をセルフホストしており、当社の要件としてコードスキャンを実行しています。多くの脆弱性が見つかりました… HackerOne で問題を 1 つずつ報告するのは現実的ではありません。どのような対応をお勧めしますか?
「いいね!」 1
discourse/docs/SECURITY.md at main · discourse/discourse · GitHub より
セキュリティの問題はどこに報告すればよいですか?
コミュニティが対応し、アップグレードする時間を与えるために、すべてのセキュリティ問題を非公開で報告することを強くお勧めします。詳細と再現手順については、Hacker One の脆弱性開示プログラムをご利用ください。できるだけ早く対応いたします。Hacker One を利用できない場合は、
team@discourse.orgまで詳細と再現手順を添えて直接メールでお問い合わせください。セキュリティの問題は、バグ修正や機能作業よりも常に優先されます。重大なセキュリティ修正を含むリリースには、「緊急」マークを付けることがあります。注意: メールで送信される低品質なセキュリティレポートが多数寄せられているため、信頼できるソースからのものでない限り、また脆弱性に関する詳細や再現手順が含まれていない限り、メールで送信されたセキュリティレポートに対応することは unlikely です。概念実証のない理論的なレポートは受け付けられません。Hacker One の提出プロトコルに従うことを強くお勧めします。
「いいね!」 4
市販のツールからのスキャンは、不条理なほどの誤検知を生成するため、誰もそれに時間を浪費したくありません。
実際の問題が見つかった場合は、HackerOneのページから報告してください。これは、各レポートを検証し、無効でないことを確認するレイヤーがあるため、主に設置されています。
「いいね!」 15