Reporting a vulnerability in an npm package

注意:漏洞报告当前仅可用于公共npm注册表中的软件包.

如果您在npm软件包(您自己或他人的软件包)中发现了安全漏洞,则可以将其报告给npm Security团队,以帮助确保Javascript生态系统的安全.

Disclosure timeline

Reporting a vulnerability

注意:漏洞报告将发送给npm Security团队,而不是软件包维护者.
  1. 收集有关漏洞的信息.
  2. 在软件包页面上,点击报告漏洞 .
  3. 在漏洞报告页面上,提供有关您自己和漏洞的信息:
    • 名称:您的名字.
    • 电子邮件地址: npm安全团队可以用来与您联系的电子邮件地址.
    • 软件包名称和版本:包含漏洞的软件包的名称.
    • 程序包版本:包含漏洞的程序包版本. 包括所有受影响的版本.
    • 漏洞描述:漏洞及其影响的简短描述. 包括有助于我们的研究人员重现和调查漏洞的参考,提交和/或代码示例.
  4. Click 发送报告.

< Requiring 2FA for package publishing and settings modification

by  ICOPY.SITE