HsbtDiary

■ Ruby の Security Issue の報告先として HackerOne を使い始めた

https://www.ruby-lang.org/en/security/ にある通り、Ruby の言語としての脆弱性の報告先として今までは pgp 暗号化したメールによる受付のみだったものを HackerOne というセキュリティ問題に特化した Issue Tracker でも受け付けるようにした上で、今後はそちらをメインにすることにした。

HackerOne 軽く使い始めた感じだと以下のような機能がセキュリティを扱うのに便利

• 同一の issue で報告者には見えないコメントでディスカッションができる
• コメントの通知メールには、更新されたという情報のみ含まれるため、脆弱性の詳細がメールで流れることがない
• 最初は全て非公開で解決したものを順次公開ということができる

組織によっては pgp 暗号化したメールでしか報告をしないというところもあったりするので、その辺は残しているので変わらないといえば変わらないけど、ハンドリングする側としては割と楽になった感じはする。