# 策展 · X (Twitter) 🔥

> 📖 本站完整內容索引（documentation index）：[llms.txt](/llms.txt)

> 作者：Node.js (@nodejs) · 平台：X (Twitter) · 日期：2026-04-02

> 原始來源：https://x.com/nodejs/status/2039697644390388178

## 中文摘要

Node.js 因外部資金中斷，被迫暫停安全漏洞賞金計畫。

Node.js 專案宣布，由於外部資金來源「Internet Bug Bounty (IBB)」計畫暫停，Node.js 專案自 2016 年起運作的安全漏洞賞金計畫也將隨之暫停。作為一個依賴志工的開源專案，Node.js 無法獨自承擔賞金支出，這凸顯了開源專案在依賴外部贊助維持安全機制時的脆弱性。

**計畫變動細節**
- 暫停原因：主要資金來源 IBB 計畫已暫停，Node.js 專案本身並無獨立預算來維持賞金發放。
- 影響範圍：即日起，提交安全漏洞報告將不再符合領取賞金的資格。
- 報告流程：儘管賞金取消，但漏洞報告管道維持不變，Node.js 仍透過 HackerOne 接收並處理漏洞通報。

**對安全性的影響**
- 承諾不變：Node.js 安全團隊強調，對安全性的重視程度未減，漏洞揭露政策、回應時間及發布流程均維持原狀。
- 呼籲貢獻：專案方誠摯感謝過去參與的研究人員，並呼籲社群即便在缺乏財務誘因的情況下，仍能持續進行負責任的漏洞揭露，這對開源生態系統的健康至關重要。

**未來展望**
- 資金尋求：若未來能獲得專屬資金挹注，Node.js 將重新評估恢復賞金計畫的可能性。
- 贊助管道：專案方公開呼籲，若有依賴 Node.js 的組織願意贊助此類安全賞金計畫，可透過「OpenJS Foundation」進行聯繫。

## 標籤

開源專案, 資安, 其他, Node.js, Internet Bug Bounty