更新2026-02-19：没有信誉的新研究人员无法再通过HackerOne提交报告。如果您是新研究人员，并且希望报告潜在漏洞，请通过Node.js安全发布管理员联系OpenJS Foundation Slack。

我们已经更新了我们的HackerOne计划 要求 信号值达到1.0或更高才能向Node.js项目提交漏洞报告。

此项变更的原因

Node.js 安全团队收到的低质量报告数量显著增加。 这一趋势多年来持续上升，而在假期期间，其数量已超过我们实际能够处理的上限。从12月15日到1月15日，我们收到了30多份报告。 对这些报告进行分类整理耗费了大量时间和精力，而这些本可用于正当的安全工作。

通过要求最低的Signal评分，我们确保记者拥有提交有效安全报告的可靠记录，同时仍允许较新的研究人员以有限的提交数量参与。

这对你意味着什么

• 新研究人员或研究人员具有信号 >\n用户要求将输入文本翻译成简体中文，但用户实际提供的内容是">"= 1.0你可以像往常一样通过 HackerOne 继续报告漏洞。
• 低于阈值者您仍然可以通过安全团队联系OpenJS基金会(OpenJS Foundation) Slack(channel:#nodejs-security-wg求助）。您可以直接通过那里的私信联系我们讨论潜在漏洞。您可以找到列出的用户，位于安全发布管理员。

关于HackerOne Signal

Signal 是 HackerOne 的信誉指标，反映了研究人员过往提交的质量。更高的信号(Signal)表示有过有效且具有影响力的报告历史。这一要求有助于我们优先处理来自具备专业能力的研究人员的报告，同时减少无效提交的审核负担。

我们感谢安全社区的理解与持续合作，共同保护 Node.js 的安全。