Node.jsはHackerOneのバグバウンティプログラムに新たな品質管理措置を導入し、脆弱性レポートを提出する前に研究者が最低でもSignalのレピュテーションスコア1.0を維持することを求めるようになりました。
OpenJS Foundationが発表したこの方針変更は、セキュリティチームのトリアージ能力を圧迫している低品質な提出物の増加を抑えることを目的としています。
変更内容の説明
更新されたプログラム規則では、セキュリティ研究者が直接の報告アクセスを得る前に、有効な提出実績という確かな実績を示すことが義務付けられました。
HackerOneのSignal指標は、研究者の過去のレポートの履歴における品質と影響を測定するもので、主要な差別化要因として機能します。
1.0の閾値を満たす、または上回る研究者は、標準のHackerOneチャネルを通じて脆弱性を提出するための制限のないアクセスを維持できます。
Node.jsのセキュリティチームは、休暇期間にピークを迎えた無効な提出の増加という憂慮すべき傾向を文書化しました。
12月15日から1月15日の間に、プロジェクトは30件を超えるレポートを受け取り、正当なセキュリティ作業からリソースを割かざるを得ないトリアージ負荷を生みました。
「この傾向は年々増加しており、休暇期間中に、実際に対応できる限界を超えました」とチームは述べています。
Signal要件は、実証された専門性を持つ研究者からの提出を優先することで、このリソース逼迫に直接対処します。
この方針は、品質管理とアクセス性のバランスを取る二層構造の仕組みを作り出します。Signalスコアが1.0以上の確立された研究者は、報告ワークフローに変更はありません。
新規参加者や閾値未満の研究者も、代替チャネルを通じて引き続き参加できます。OpenJS FoundationのSlackワークスペース経由でセキュリティチームに連絡し、潜在的な脆弱性について相談できます。
このアプローチは、プロジェクトの限られたトリアージリソースを保護しつつ、新たな才能に対する機会を維持します。
Node.jsは、規模に対応するために脆弱性開示プロセスを洗練させているオープンソースプロジェクトの増加傾向に加わりました。
レポートの有効性と深刻度に関する過去の実績に基づいて算出されるSignal指標は、主観的なトリアージの負担を減らす客観的なフィルターを提供します。
この閾値を導入することで、プロジェクトはセキュリティパイプラインにおけるシグナル対ノイズ比の改善を見込み、重大な脆弱性への対応時間を短縮できるようになります。
OpenJS Foundationはセキュリティコミュニティとの継続的な協力を強調し、この変更を排除ではなく、必要な運用上の衛生管理として位置づけました。
翻訳元: https://gbhackers.com/node-js-sets-new-standard-for-hackerone-reports/
