<img height =" 1" width =" 1" alt ="" style =" display:none" src =" https://www.facebook.com/tr?id=600838656713699&amp;ev=PixelInitialized">

Security policy

Sails致力于提供安全的框架,并快速响应任何可疑的安全漏洞. 贡献者认真工作以确保最佳实践,但是在发现,报告和补救安全问题方面,我们也严重依赖社区.

Reporting a security issue in Sails

如果您认为自己在Sails,Waterline或Sails核心团队维护的其他模块之一中发现了安全漏洞,请发送电子邮件至至关重要的sailsjs dot com . 本着负责任的公开精神,我们要求您在该电子邮件地址上秘密报告任何安全漏洞,并让我们有时间在发布详细信息之前修补此问题.

What is a security vulnerability?

安全漏洞是指可能会破坏生产中的Sails.js应用程序的任何重大错误或意外后果.

例如,使用非标准的Grunt任务时Sails在开发环境中崩溃的问题不是安全漏洞 . 另一方面,如果可以对在生产环境中运行并使用记录的最佳实践(例如Express / Connect主体解析器问题 )的Sails集群进行小规模的DoS攻击,则这是一个安全漏洞 ,我们希望知道这一点.

请注意,此定义包括由于我们的依赖性之一而存在的任何此类漏洞. 在这种情况下,不一定总是需要升级到其他版本的依赖项:例如,当Express 3弃用核心中的分段上传支持时,Sails.js通过围绕名为Skippermultiparty模块实现包装器来处理功能不匹配.

What should be included in the email?

  • 发现安全漏洞的模块的名称和NPM版本字符串(例如Sails,Waterline,其他核心模块).
  • 漏洞摘要
  • 发现漏洞时使用的代码或漏洞的代码示例(以较短者为准).
  • 是否要我们公开您的参与. 如果您想要这样的引用,则希望您引用该名称和链接(例如Jane Doe到她的GitHub帐户的链接)

请尊重核心团队的隐私,并且不要将因未记录的用法,问题或功能要求而导致的错误发送到此电子邮件地址.

The process

当您报告漏洞时,一位项目成员将在最多72小时内回复您. 此回复很可能是对我们已经收到报告的确认,并将立即对其进行调查. 我们针对大多数安全漏洞的目标修补时间为14天.

根据漏洞的性质以及修复所需的时间,我们将发送补丁以禁用损坏的功能,提供估计所需的修复时间,和/或以最佳方式记录文档避免生产问题应遵循的实践.

您可能会收到一封后续电子邮件,其中概述了该漏洞的解决方案的发展以及我们可能对您的体验提出的任何其他问题.

When a solution is achieved we do the following:
  • 通知你
  • 在NPM上发布补丁
  • Node Security协调以发出建议 ,将您的信用记入您的帐户(除非您明确要求不被识别)
  • 通过我们的新闻组公开发布

Is this an SLA?

不会.Sails框架可通过MIT许可获得 ,该许可不包含服务级别协议. 但是,核心团队和贡献者非常关心Sails,我们每个人都在生产环境中在Sails上运行网站和API. 我们将始终尽快发布针对任何严重安全漏洞的修复程序-不仅出于我们的诚意,还因为它也可能影响我们的应用程序(以及客户的应用程序).

有关更多支持选项,请参见https://sailsjs.com/support .

by  ICOPY.SITE