Discourseサイトに関するHackenProofのバウンティを受け取りました。v3.10.beta3 +155にアップグレードしましたが、報告されたバウンティに関連するリリースノートは見当たりませんでした。これは新しいものですか、それとも懸念事項ではありませんか?
Impact
攻撃者がソースコードや機密情報、非公開APIを取得する危険性があります。
Recommendation
一時的な解決策は、コードディレクトリ内の.mapファイルを削除することです。恒久的な解決策は、ビルド中にマップファイルを生成する機能を無効にすることです。
このリンクを参考にできると思います: https://docs.fluidattacks.com/criteria/vulnerabilities/236/
回答は、非公開APIは存在しないということだと思います。GitHub - discourse/discourse: A platform for community discussion. Free, open, simple. で文書化されており、それを読む方法がわからない場合は、いつでも Discourse APIのリバースエンジニアリング を行うことができます。
偽のセキュリティスパムは本当に嫌いです。
それらがすべて偽物だとは思いませんが、そのうちのいくつかはコンサルティングプロジェクトを募集しているように見えます。(しかし、ビッグエイトの会計事務所も同様のことをしており、通常は前払いレポートを販売していますが、それを少し修正して2万ドルを請求されます。)
フィードバックありがとうございます。これが本当に問題なのかどうか確信が持てませんでした。
ソースコードが漏洩したと警告することをきっかけにコンサルティングプロジェクトを漁るなんて想像できますか…しかも、そのサイトは最も有名なオープンソースプロジェクトの1つを基盤に構築されているのですから 
しかし、これらの問題が発生するたびに、私は正式には引退しているにもかかわらず、エグゼクティブディレクターから心配すべきことかどうかというメールが届きます。