针对漏洞报告的 HackerOne 新 Signal 要求

Source: Node.js Blog

UPDATE 2026‑02‑19：没有 Signal 的新研究员将无法再通过 HackerOne 提交报告。如果您是新研究员并希望报告潜在漏洞，请通过 OpenJS Foundation Slack 联系 Node.js 安全发布负责人。

我们已更新我们的 HackerOne 项目，要求提交 Node.js 项目漏洞报告的 Signal 分数 ≥ 1.0。

为什么要做此更改

Node.js 安全团队收到的大量低质量报告显著增加。假期期间报告数量已超过我们能处理的阈值：在 12 月 15 日至 1 月 15 日之间，我们收到了超过 30 份报告。对这些报告进行分拣会消耗本可以用于真正安全工作的时间和精力。通过要求最低 Signal 分数，我们可以确保报告者拥有提交有效安全报告的良好记录，同时仍允许新研究员在有限的提交次数内参与。

这对您意味着什么

• Signal ≥ 1.0 的研究员：您可以像往常一样通过 HackerOne 继续报告漏洞。
• 低于阈值的研究员：您仍可通过 OpenJS Foundation Slack 与安全团队取得联系。请在 Slack 上联系我们，讨论潜在漏洞。

关于 HackerOne Signal

Signal 是 HackerOne 的声誉指标，反映研究员过去提交的报告质量。Signal 越高，说明其历史上提交了有效且有影响力的报告。此要求帮助我们优先处理来自具备验证专业能力的研究员的报告，同时降低处理无效提交的负担。

我们感谢安全社区的理解与持续合作，共同维护 Node.js 的安全。