html 🔒 Política de segurança | Nullcore
Pule para o conteúdo principal

🔒 Política de segurança

Patrocinado porUrdidura
Warp
O terminal inteligente para desenvolvedores

No Nullcore, proteger a segurança e a confidencialidade dos dados do usuário é a nossa principal preocupação. Nossos processos técnicos de arquitetura e desenvolvimento são projetados para minimizar as vulnerabilidades e manter a confiança que nossos stakeholders colocam em nós. Avaliações regulares, a verificação da base de código e a adoção sistemática de metodologias de melhores práticas garantem que a segurança permaneça uma parte central do ciclo de vida do nosso projeto.

Empregamos uma mistura de técnicas automatizadas e manuais para acompanhar ameaças em evolução e estamos melhorando continuamente nossa abordagem, incluindo planos para integrar ferramentas avançadas de análise estática e de dependência. O foco está sempre no gerenciamento proativo de riscos e no manuseio responsável de quaisquer vulnerabilidades relatadas.

Versões suportadas

VersãoSuportado
principal
outros

Onde e como relatar vulnerabilidades de segurança

informações

A comunidade aberta da Webui prospera por causa de pessoas como você, pessoas que se preocupam profundamente em tornar o software mais seguro para todos.

Para garantir que suas descobertas realmente ajudem a proteger os usuários e são abordados rapidamente, envie todos os relatórios de vulnerabilidade de segurançaapenasatravés do nossoPágina oficial de segurança do github. Qualquer outro site, serviço, ou a chamada plataforma de “recompensa” énãoafiliadoConosco, e seu trabalho importante simplesmente não atingirá aqueles que podem fazer a diferença.

Sabemos que pode ser tentador confiar em plataformas que fazem grandes promessas, mas apenas o GitHub o conecta diretamente àquelas salvaguardas do webui aberto. Vamos garantir que sua vigilância beneficie genuinamente a comunidade, relate aqui, onde isso realmente importa.

Todas as vulnerabilidades de segurança para Webui abertas devem ser relatadas exclusivamente através do nosso repositório oficial do GitHub:https://doc.nullcore.com.br/security

Estamos comprometidos em manter um ambiente seguro, garantindo que todos os relatórios de vulnerabilidade de segurança sejam gerenciados exclusivamente por meio de nossa plataforma oficial do GitHub. Ao lidar com as divulgações centralmente no Github, garantimos que todo relatório seja processado de forma transparente, eficiente e confidencialmente pelos mantenedores do projeto. Essa abordagem nos permite fornecer aos colaboradores e usuários o mais alto nível de visibilidade, responsabilidade e garantia de que todas as comunicações e resoluções relacionadas à segurança são minuciosamente documentadas e gerenciadas de maneira confiável. Os relatórios enviados por meio de qualquer plataforma, canal ou serviço de terceiros fora do Github não podem ser incorporados ao nosso fluxo de trabalho de segurança oficial e, como resultado, podem não ser capazes de contribuir para a segurança do webui aberto.

Por que apenas github?

Nosso compromisso com um mecanismo de relatório central único está enraizado no rigor técnico e na administração ética:

  • Integridade e rastreabilidade:O gerenciamento de relatórios exclusivamente via Github garante que todos os problemas sejam tratados no ecossistema de código aberto, onde a comunidade pode verificar o processo, os resultados e a responsabilidade dos colaboradores.
  • Segurança do usuário:Outros sites que afirmam facilitar a divulgação de vulnerabilidades, os programas de recompensas ou recompensas não são afiliados ao Webui aberto. O envio de vulnerabilidades a essas plataformas não apenas deixa de tornar o projeto mais seguro, mas pode, involuntariamente, colocar detalhes confidenciais em risco de uso indevido ou divulgação não autorizada.
  • Protegendo a comunidade:Quando as informações ignoram nosso fluxo de trabalho de segurança centralizado, o projeto se torna mais suscetível não apenas a explorações não fixadas, mas também à disseminação de práticas enganosas ou exploradoras. Apesar das reivindicações de sites externos de atuar como intermediários ou pagar recompensas, essas entidades não oferecem garantias aos usuários e podem incentivar um comportamento questionável ou inseguro sob o disfarce de incentivação. Por fim, apenas as divulgações feitas através do nosso GitHub garantem que sua experiência beneficie todo o ecossistema conforme o pretendido.

Diretrizes de relatório

Para garantir um processo de remediação construtiva e rápida, siga os seguintes requisitos:

  1. Envie apenas relatórios detalhados: Declarações vagas ou genéricas como "Encontrei uma vulnerabilidade" sem detalhes acionáveis ​​não serão aceitas e são classificadas como spam.
  2. Demonstrar entendimento: Descrições claras e concisas apoiadas pela evidência de impacto ou exploração são necessárias. Especifique componentes, versões afetadas e etapas para reproduzir.
  3. Prova de conceito necessário: Os envios devem incluir uma prova de trabalho de conceito (POC). Os garfos privados podem ser usados ​​para divulgação responsável - o acesso deve ser compartilhado com mantenedores relevantes.
  4. Orientação de remediação esperada: Relatórios de alta qualidade são mais valiosos quando acompanhados por patches propostos ou etapas diretas e acionáveis ​​para mitigação. Isso simplifica nossa linha do tempo de revisão e resolução e demonstra compromisso com a robustez contínua do projeto.

Os colaboradores que não apenas identificam uma vulnerabilidade, mas também apresentam uma correção robusta e pronta para mérgica, ajudam a acelerar nossa resposta e fortalecer a comunidade. Reconhecemos e priorizamos esses esforços, e pode haver oportunidades adicionais de apreciação para aqueles que fornecem soluções abrangentes.

Todos os envios não compatíveis ou fora do tópico serão fechados. O uso indevido repetido pode resultar em ser proibido de contribuir para o projeto.

Comunicação e compensação

Todas as avaliações e acompanhamento de ameaças são revisados ​​pela equipe principal do projeto, permitindo-nos avaliar, priorizar e abordar diretamente o problema. Enquanto promovemos a divulgação responsável e valorizamos altamente contribuições qualificadas, o processo - incluindo o reconhecimento - permanece a critério exclusivo dos mantenedores e é tratado no GitHub. Os colaboradores que oferecem correções acionáveis ​​podem receber reconhecimento adicional, dependendo do impacto de seu relatório.

Processo de segurança do produto

  • Revisões externas internas e periódicas de nossa arquitetura e pipelines
  • Testes automatizados e manuais para o front-end e o back-end
  • Gerenciamento de riscos proativos e revisões de código como parte do desenvolvimento contínuo
  • Melhorias contínuas e integração de ferramentas avançadas para análise estática/dinâmica

Se você tem uma preocupação de segurança imediata e acionável, crie um relatório em nossoPortal Consultivo de Segurançaourastreador de emissão