2026-04-13 23:02:21
Node.js官方随后发布公告称,由于HackerOne相应赏金计划暂停运作,其漏洞奖励的资金来源被切断。作为一个以社区志愿者为主导的开源项目,Node.js并没有独立预算来持续支付漏洞赏金,因此在缺乏外部资金支持的情况下,将暂停向漏洞报告者发放奖励。不过Node.js强调,安全漏洞的提交流程并未发生变化,研究人员仍可通过HackerOne平台提交问题。项目团队仍会以同等优先级处理漏洞,相关披露政策、响应时间以及补丁发布流程均保持不变。公开信息显示,HackerOne的“互联网漏洞赏金计划”由多家软件公司共同出资,自2012年正式启动,主要为漏洞发现者提供一系列现金奖励,累计发放金额已超过150万美元(亚汇网注:现汇率约合1025.7万元人民币)。针对Node.js这一变化,安全公司Socket指出,在HackerOne“互联网漏洞赏金计划”接停止接收新的漏洞提交报告之前,Node.js实际上已经开始调整其漏洞赏金机制,大幅提高提交门槛,这主要是因为奖励机制吸引了大量低质量AI虚假漏洞报告,然而每逢遇到漏洞报告,开发者需要投入大量精力进行核实,给志愿维护者带来极大负担。值得注意的是,Node.js并非唯一受到AI“刷漏洞”影响的项目。例如今年1月,cURL也广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
