负责任地披露漏洞是 Netlify 安全团队的一项重要原则。在任何情况下,我们只会披露已完全修复的漏洞。
Netlify 与漏洞赏金研究人员的合作
我们热衷于与漏洞赏金研究合作伙伴合作,让 Netlify 平台更好地为所有人服务。如果研究人员向我们报告漏洞,并且我们能够扩展他们发现的内容,那么我们将按扩展金额支付报酬。如果您是一位出色的漏洞赏金研究人员,我们希望与您合作。立即查看我们的公共漏洞赏金计划。
Netlify 客户和社区对未来有何期待?
如果我们发现某个漏洞,并且该漏洞的 CVE 评级为严重或高,那么您可以期待我们负责任地对此发表意见。我们的目标是通过透明披露让优秀的开发者社区变得更好,这样我们就可以共同让网络变得更安全。
48 小时通知政策
如果存在漏洞,我们确实需要客户采取行动,您可以期待 象牙whatsapp数据 我们在调查完成后 48 小时内与您联系,这与我们的安全事件通知政策相同。我们实施此流程的目标有两个:1) 我们已经验证我们的客户和社区不再存在漏洞;2) 我们已经验证客户和社区在暴露窗口期间没有受到攻击。
负责任地向 Netlify 披露调查结果
您可以通过我们的公共漏洞赏金计划负责任地报告您发现的漏洞,帮助我们使网络不仅变得更美好,而且更安全。
致力于保障客户数据的安全,并透明、负责任地披露漏洞。在这篇文章中,我们讨论了Netlify IPX 包中的一个漏洞,该漏洞是由我们的安全研究人员之一Sam Curry发现的。
Netlify 已修复该问题。Netlify 与上游社区合作修复了该漏洞,用户无需采取任何行动。
Netlify IPX 漏洞摘要
IPX 是一个图像优化服务器库,允许网站提供动态调整大小和重新格式化的图像。虽然它是由 Nuxt 团队创建的,但它可以用于任何需要提供优化图像的网站。Netlify 维护了 IPX Netlify 插件的一个分支,默认情况下,Gatsby 和 Next.js 等框架的用户可以使用该插件。