Olá!
Estamos auto-hospedando o Discourse e, como requisito para nossa empresa, estamos executando verificações de código. Encontramos muitas vulnerabilidades… O HackerOne não é a maneira mais prática de relatar cada um dos problemas que encontramos. O que você recomenda?
De discourse/docs/SECURITY.md at main · discourse/discourse · GitHub
Onde devo relatar problemas de segurança?
Para dar à comunidade tempo para responder e atualizar, recomendamos fortemente que você relate todos os problemas de segurança privadamente. Por favor, use nosso programa de divulgação de vulnerabilidades no Hacker One para fornecer detalhes e passos para reprodução, e nós responderemos o mais rápido possível. Se você não puder usar o Hacker One, envie-nos um e-mail diretamente para
team@discourse.orgcom detalhes e passos para reprodução. Problemas de segurança sempre têm precedência sobre correções de bugs e trabalho em novos recursos. Podemos e marcamos lançamentos como “urgentes” se eles contiverem correções de segurança sérias.Por favor, note: Devido a um número significativo de relatórios de segurança de baixa qualidade enviados por e-mail, é improvável que ajamos sobre relatórios de segurança enviados por e-mail, a menos que venham de uma fonte confiável e incluam detalhes sobre a vulnerabilidade e instruções passo a passo para reproduzi-la. Relatórios teóricos sem prova de conceito não são aceitos. Recomendamos fortemente que você siga os protocolos de submissão do Hacker One.
Verificações de ferramentas prontas produzem uma quantidade absurda de falsos positivos, nos quais ninguém quer perder tempo.
Se você encontrou um problema real, por favor, relate através da nossa página Hacker One, que existe principalmente para que haja uma camada que valide cada relatório e garanta que eles não sejam inválidos.