摘要: Node.js安全漏洞悬赏计划因失去外部资助而暂停。自2016年起,该项目通过HackerOne参与互联网漏洞悬赏计划(IBB),向负责披露漏洞的研究人员提供奖金。该计划曾是安全生态的重要组成部分,现因无外部资金支持无法继续发放奖金。安全报告流程未变,但仍无法提供经济奖励。Node.js安全团队重申对安全的重视,披露政策、响应时间和发布流程保持不变。感谢历年参与者的贡献,鼓励继续负责披露漏洞,以维护开源生态健康。若组织需赞助该计划,请联系OpenJS Foundation。问题咨询或漏洞报告请见安全页面。
讨论: 这将显著影响网络生态系统的安全。或许Node.js可以转向一个无赏金的VDP计划。来自Hacker One的说明:’VDP专门用于接收、验证和处理安全报告,但不包含有偿赏金要素’。
原文标题:Node.js Security Bug Bounty Program Paused
原文链接:https://nodejs.org/en/blog/announcements/discontinuing-security-bug-bounties
讨论链接:https://news.ycombinator.com/item?id=47614384