Merci de prendre le temps de signaler une vulnérabilité de manière responsable.
Nous maintenons et corrigeons en priorité la branche par défaut du dépôt (ex. main).
Les versions/tag plus anciens peuvent ne pas être corrigés, sauf cas critique.
Merci d’envoyer un rapport par email à :
Objet recommandé : [SECURITY] <nom du repo> - <résumé court>
Pour accélérer l’analyse, merci d’inclure au maximum :
- Description claire de l’impact et du scénario d’attaque
- Étapes de reproduction (PoC si possible, mais sans exploitation active)
- Version/commit concerné, environnement, configuration pertinente
- Logs / traces / captures d’écran (en masquant toute donnée sensible)
- Évaluation CVSS si tu en as une (optionnel)
- Propositions de correctif (PR/diff) si tu as (optionnel)
- Ne pas exfiltrer de données réelles.
- Ne pas dégrader la disponibilité (DoS), ni tester sur des environnements de prod sans accord explicite.
- Ne pas scanner agressivement l’infrastructure.
- Accusé de réception : sous 2 jours ouvrés
- Qualification initiale : sous 5 jours ouvrés
- Plan de remédiation : selon sévérité (objectif : <30 jours pour critique/élevée)
Ces délais peuvent varier selon la complexité, la disponibilité des mainteneurs et le contexte.
Merci de respecter une divulgation coordonnée :
- Ne pas publier le détail avant qu’un correctif soit disponible (ou qu’un calendrier ait été convenu).
- Nous nous engageons à tenir le reporter informé de l’avancement.
Les correctifs et notes de sécurité peuvent être publiés :
- dans les Releases
- via un Security Advisory (si activé pour ce dépôt/organisation)
Sauf demande contraire, nous pouvons créditer le reporter dans les notes de release/advisory. Indique ton nom/handle GitHub si tu souhaites être crédité.
Dernière mise à jour : 2025-12-24
