Мы получили отчёт о безопасности от исследователя на нашем экземпляре, размещённом на платформе Discourse. Я изучил его, но некоторые детали остались для меня непонятными из-за недостаточного знания платформы.
Я ознакомился с правилами безопасности, и, похоже, нам нужно отправить отчёт через HackerOne. Проблема в том, что я могу либо попросить исследователя сообщить о проблеме напрямую, либо сделать это сам (и, возможно, потерять часть информации при переводе из-за моего пробела в знаниях).
Может быть, мне просто переслать отчёт на вашу электронную почту? В таком случае я опасаюсь, что он может не получить приоритетной обработки (вы упоминаете об этом в руководстве).
Извините за эти вопросы, я просто пытаюсь понять, как действовать дальше. Спасибо за ваши рекомендации, мы очень ценим то, что вы для нас делаете!
Это почти наверняка подделка. «Спам по вопросам безопасности» — серьёзная проблема. Но отвечать на такие сообщения в духе: «О, большое спасибо! Мы очень рады, что вы обнаружили эту серьёзную уязвимость. Пожалуйста, как можно скорее сообщите об этом на Hacker One, чтобы получить причитающиеся вам деньги» — вероятно, лучший способ показать руководству, что вы выполняете свою работу, и одновременно заставить спамеров замолчать.
Ха-ха! Я действительно считаю, что отчёт достоверен. Иначе я бы не обратился сюда за советом.
В любом случае, я понимаю ваши чувства: я единственный DevOps-специалист, отвечающий за все наши платформы, и некоторые из этих «охотников за подачками» действительно раздражают. Тем не менее, я разделяю ваше разочарование.
В данном случае это не несанкционированное сообщение — я прочитал и проверил отчёт, который был нам передан через наши собственные каналы политики безопасности. У нас достаточно возможностей, чтобы отсеивать типичный спам. Судя по всему, это настоящий баг (если пока ещё не проблема безопасности, это требует дальнейшего расследования).
Я не хочу, чтобы люди, обращающиеся сюда, отклоняли каждый отчёт, особенно если у них нет полного понимания внутреннего устройства Discourse.
Я отметил предыдущий ответ сотрудника как правильный подход к решению этой задачи: все отчёты следует отправлять через HackerOne.
За последние годы мы и некоторые из наших клиентов сталкивались с множеством случаев, когда исследователи безопасности обращались к нашим клиентам или к нам с серьёзными проблемами, которые позже были опубликованы на HackerOne.
Исследователи безопасности не всегда фокусируются на самой платформе; иногда они изучают сеть или сервисы, связанные с конкретной компанией или сообществом. В таких случаях им кажется естественным сообщить об этом непосредственно владельцу форума, а не разработчикам программного обеспечения.
Дополнительную сложность представляет то, что проблемы с безопасностью могли быть вызваны также индивидуальным плагином или специфической конфигурацией.