From 29547fa66bf21856cb31285779e61aae875acf9a Mon Sep 17 00:00:00 2001 From: Andres Maqueo <193985782+AndresMaqueo@users.noreply.github.com> Date: Sat, 8 Mar 2025 02:12:30 -0600 Subject: [PATCH] Create SECURITY.md MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Este commit agrega la política de seguridad (`SECURITY.md`) al repositorio. Incluye información detallada sobre: - **Versiones soportadas y ciclo de vida del proyecto.** - **Procedimiento para reportar vulnerabilidades.** - **Proceso interno de manejo de problemas de seguridad.** - **Buenas prácticas recomendadas para los usuarios.** - **Recursos adicionales sobre seguridad en desarrollo.** Este archivo ayuda a mejorar la transparencia y la seguridad del proyecto, asegurando que los colaboradores y usuarios sepan cómo actuar en caso de problemas de seguridad. --- SECURITY.md | 81 +++++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 81 insertions(+) create mode 100644 SECURITY.md diff --git a/SECURITY.md b/SECURITY.md new file mode 100644 index 0000000..b0abc9f --- /dev/null +++ b/SECURITY.md @@ -0,0 +1,81 @@ +# 🛡️ Política de Seguridad + +Este documento describe el proceso de manejo de vulnerabilidades de seguridad en este proyecto. + +## 📌 Versiones Soportadas + +Este proyecto proporciona actualizaciones de seguridad activas solo para versiones específicas. A continuación, se detalla el estado de soporte: + +| Versión | Soporte Activo | +| ------- | -------------- | +| 6.x | ✅ Soporte completo | +| 5.x | ⚠️ Solo parches críticos | +| 4.x | ❌ Fin de soporte | +| < 4.0 | ❌ No soportado | + +Si usas una versión sin soporte, **se recomienda actualizar de inmediato** para mantener la seguridad de tu sistema. + +--- + +## 📢 Reportar una Vulnerabilidad + +Si encuentras una vulnerabilidad de seguridad en este proyecto, sigue estos pasos para reportarla de forma segura: + +1. **No publiques la vulnerabilidad públicamente.** +2. **Envía un correo a [tu-email@ejemplo.com]** con la siguiente información: + - Descripción clara del problema. + - Pasos para reproducir la vulnerabilidad. + - Impacto potencial de la vulnerabilidad. + - Posibles soluciones o mitigaciones (si las tienes). +3. **Tiempo de respuesta esperado:** + - 📬 **Confirmación de recepción:** En 24-48 horas. + - 🔍 **Investigación y evaluación:** Dentro de 7 días hábiles. + - 🛠 **Lanzamiento de parches:** Según la criticidad del problema. + +--- + +## 🔐 Proceso de Manejo de Vulnerabilidades + +Cuando se reporta una vulnerabilidad, seguimos estos pasos para garantizar su resolución: + +1. **Recepción y validación** + - Se revisa el informe y se determina su impacto. + - Se asigna un equipo para la evaluación. + +2. **Análisis de riesgo y clasificación** + - Se clasifica la vulnerabilidad según su severidad (Crítica, Alta, Media, Baja). + - Se informa al equipo de desarrollo para mitigar el problema. + +3. **Desarrollo de un parche** + - Se desarrolla y prueba un parche para corregir la vulnerabilidad. + - Se coordina un lanzamiento seguro de la actualización. + +4. **Divulgación responsable** + - Se informa a los usuarios afectados sobre la actualización. + - En caso de vulnerabilidades críticas, se publica un informe de seguridad. + +--- + +## 🛑 Prácticas de Seguridad Recomendadas + +Para ayudar a prevenir vulnerabilidades en tu implementación del proyecto, te recomendamos: + +✅ **Mantener tu software actualizado:** Siempre usa la última versión soportada. +✅ **Aplicar el principio de mínimo privilegio:** No des permisos innecesarios a usuarios o procesos. +✅ **Habilitar la autenticación multifactor (MFA)** para accesos críticos. +✅ **Monitorear logs y actividad sospechosa en tiempo real.** +✅ **Realizar auditorías de seguridad periódicas.** + +--- + +## 📚 Recursos Adicionales + +- [OWASP Top 10 - Principales vulnerabilidades de seguridad](https://owasp.org/www-project-top-ten/) +- [Guía de seguridad en GitHub](https://docs.github.com/es/code-security) +- [NIST Cybersecurity Framework](https://www.nist.gov/cyberframework) + +--- + +📌 **Última actualización:** _$(Get-Date -Format "yyyy-MM-dd")_ + +Si tienes dudas sobre esta política de seguridad, contáctanos a **[tu-email@ejemplo.com]**.