Node.js 项目的安全漏洞赏金计划因外部资金来源中断而暂停。

背景

自 2016 年以来，Node.js 项目一直参与互联网漏洞赏金计划（Internet Bug Bounty，简称 IBB） 通过 HackerOne 的计划，向负责任地披露 Node.js 漏洞的安全研究人员提供金钱奖励。该计划是我们安全生态系统的重要组成部分，我们感谢参与的研究人员。

为什么

互联网漏洞赏金计划(IBB)通过一个由捐赠资助的集中资金池为 Node.js 提供赏金，目前该计划已暂停。您可以在此处阅读更多关于暂停的信息. 这个决定并非由 Node.js 项目做出。

作为一个由志愿者驱动的开源项目，Node.js 没有独立的预算来独自维持一个赏金计划。如果没有外部支持，我们目前无法为漏洞报告提供金钱奖励。

这意味着什么

• 安全报告流程保持不变。我们仍然接收和处理漏洞报告，通过HackerOne。如果您发现安全问题，请继续负责任地报告。
• 无金钱奖励。报告将不再有资格获得漏洞赏金。
• 对安全的承诺不变。Node.js安全团队继续以最高优先级对待安全问题。我们的披露政策、响应时间和发布流程保持不变。

向研究人员表示感谢

我们衷心感谢多年来通过漏洞赏金计划报告漏洞的每一位研究人员。你们的贡献使 Node.js 对数百万用户更加安全。我们希望你们即使在缺乏经济激励的情况下也能继续报告安全问题——负责任地披露对开源生态系统的健康发展至关重要。

展望未来

如果专用资金再次可用，我们将重新评估恢复赏金计划。如果您的组织依赖 Node.js 并有意赞助漏洞赏金计划，请通过 OpenJS Foundation(OpenJS基金会) 联系我们。

如有疑问或要报告漏洞，请参阅我们的 安全报告页面。