Express.js 如何重建其漏洞报告流程
Express.js 项目在其持续的安全承诺中完成了一个重要的里程碑:正式、集中的漏洞报告和响应流程已实施。
直到最近,安全报告通常通过电子邮件处理——这种方法在早期有效,但随着 Express 日益增长的复杂性和用户群,它不再适用。这种非正式系统可能导致延迟、处理不一致,并增加了问题被遗漏或误解的风险。
感谢 主权技术基金 的支持,Express.js 安全工作组现已彻底改革我们管理漏洞报告的方式。
🛠️ 主要改进
规范化漏洞报告流程
已创建了一份全面的操作手册和流程图,以指导维护者完成分类、确认和解决报告的安全问题的每个步骤。
跨仓库统一安全政策
所有 Express.js 仓库现在都共享一个单一、统一的 SECURITY.md 政策,以确保一致性,并消除报告者和维护者的困惑。
已启用 GitHub 安全咨询
所有 Express.js 仓库现已启用安全咨询,可以通过 GitHub 的内置系统安全地、私密地报告漏洞。
明确的维护者职责
已澄清并发布了有关所有权和响应时间表的期望,以减少模糊性并提高响应速度。
在对您的报告进行初步回复后,安全团队将努力让您了解修复进展和完整公告,并可能要求提供额外信息或指导。
🛡️ Express 现已纳入 OpenJS 基金会 CNA 范围
截至 2025 年 6 月,OpenJS 基金会 正式成为 CVE 编号机构 (CNA),有权为其托管项目(包括 Express)的安全漏洞分配 CVE 标识符。
这对社区意味着什么
- Express 中的安全漏洞现在可以通过 OpenJS 获得官方 CVE ID,提高了透明度和协调性。
- 基金会提供支持和工具,以简化漏洞披露流程,特别是对于维护者和安全研究人员。
- 对于关键问题,CNA 帮助确保披露遵循最佳实践,并记录在全球漏洞数据库中。
请参阅 Express 的安全政策 以了解正确的披露流程。如果需要,现在可以通过 OpenJS CNA 进行升级。
这一进展是加强 JavaScript 开源生态系统安全性的更广泛努力的一部分——特别是对于像 Express 这样广泛使用、由社区驱动的项目。
了解更多
👀 即将推出:漏洞赏金计划正在进行中
为了进一步增强我们生态系统的安全性并鼓励负责任的漏洞披露,Express.js 团队已开始探讨参与一项以社区为中心的漏洞赏金计划——由 主权技术弹性计划 提供支持。
此次合作旨在
- 奖励贡献者发现并负责任地报告安全问题
- 提高我们快速透明地解决漏洞的能力
- 增强用户和维护者的长期弹性
加入对话并在 expressjs/discussions#345 – 漏洞赏金提案 中分享您的想法
为什么这很重要
安全是一项共同责任——并且必须随着项目的增长而发展。通过这些更新,Express.js 为一个更可靠、可扩展和透明的漏洞响应系统奠定了基础。
我们感谢 OpenJS 基金会 和 主权技术基金 的支持,并很高兴与更广泛的社区分享这一进展。
编辑此页面