Node.js 因外部資金中斷，被迫暫停安全漏洞賞金計畫

Node.js 因外部資金中斷，被迫暫停安全漏洞賞金計畫。

Node.js 專案宣布，由於外部資金來源「Internet Bug Bounty (IBB)」計畫暫停，Node.js 專案自 2016 年起運作的安全漏洞賞金計畫也將隨之暫停。作為一個依賴志工的開源專案，Node.js 無法獨自承擔賞金支出，這凸顯了開源專案在依賴外部贊助維持安全機制時的脆弱性。

計畫變動細節

• 暫停原因：主要資金來源 IBB 計畫已暫停，Node.js 專案本身並無獨立預算來維持賞金發放。
• 影響範圍：即日起，提交安全漏洞報告將不再符合領取賞金的資格。
• 報告流程：儘管賞金取消，但漏洞報告管道維持不變，Node.js 仍透過 HackerOne 接收並處理漏洞通報。

對安全性的影響

• 承諾不變：Node.js 安全團隊強調，對安全性的重視程度未減，漏洞揭露政策、回應時間及發布流程均維持原狀。
• 呼籲貢獻：專案方誠摯感謝過去參與的研究人員，並呼籲社群即便在缺乏財務誘因的情況下，仍能持續進行負責任的漏洞揭露，這對開源生態系統的健康至關重要。

未來展望

• 資金尋求：若未來能獲得專屬資金挹注，Node.js 將重新評估恢復賞金計畫的可能性。
• 贊助管道：專案方公開呼籲，若有依賴 Node.js 的組織願意贊助此類安全賞金計畫，可透過「OpenJS Foundation」進行聯繫。