Привет!
Мы размещаем Discourse самостоятельно, и в соответствии с требованиями нашей компании мы проводим сканирование кода. Мы обнаружили множество уязвимостей… HackerOne не самый практичный способ сообщать о каждой найденной проблеме. Что вы рекомендуете?
Из discourse/docs/SECURITY.md at main · discourse/discourse · GitHub
Где мне сообщать об уязвимостях?
Чтобы у сообщества было время отреагировать и обновить систему, мы настоятельно рекомендуем сообщать обо всех проблемах безопасности конфиденциально. Пожалуйста, используйте нашу программу раскрытия уязвимостей на Hacker One, чтобы предоставить детали и шаги воспроизведения; мы ответим как можно скорее. Если вы не можете воспользоваться Hacker One, напишите нам напрямую на
team@discourse.org, указав детали и шаги воспроизведения. Проблемы безопасности всегда имеют приоритет над исправлением ошибок и разработкой новых функций. Мы можем и действительно помечаем выпуски как «срочные», если они содержат серьёзные исправления уязвимостей.Обратите внимание: из-за большого количества низкокачественных отчётов об уязвимостях, присланных по электронной почте, мы, скорее всего, не будем реагировать на такие отчёты, если они не поступают от доверенного источника и не содержат подробностей об уязвимости, а также пошаговых инструкций по её воспроизведению. Отчёты теоретического характера без доказательства концепции не принимаются. Мы настоятельно рекомендуем следовать правилам подачи отчётов на Hacker One.
Результаты сканирования с помощью готовых инструментов часто содержат огромное количество ложных срабатываний, на которые никто не хочет тратить время.
Если вы обнаружили реальную проблему, пожалуйста, сообщите об этом через нашу страницу на Hacker One. Она создана для того, чтобы обеспечить проверку каждого сообщения и убедиться, что оно не является ложным.