A segurança do ERP Bem Comum é levada a sério. Esta organização hospeda software que pode operar com dados sensíveis de uma organização do terceiro setor — qualquer vulnerabilidade tem potencial de impactar beneficiários reais.
Não abra uma issue pública para reportar vulnerabilidades.
Em vez disso, use uma das seguintes vias de divulgação privada:
Em qualquer repositório da organização:
- Acesse a aba Security do repositório
- Clique em Report a vulnerability
- Preencha o formulário; somente mantenedores autorizados verão o relato
Esta é a via preferida porque cria um canal privado de comunicação, gera CVE quando aplicável e permite coordenar a divulgação.
Se o repositório não tiver Security Advisories habilitadas, envie e-mail a gaderaldo10@gmail.com com:
- Descrição da vulnerabilidade
- Passos para reproduzir
- Impacto observado ou estimado
- Versão / commit afetado
- Quaisquer mitigações conhecidas
Use o assunto: [SECURITY] <repositório>: <resumo curto>.
- Confirmação de recebimento: em até 72 horas
- Avaliação inicial: em até 7 dias
- Atualizações de progresso: ao menos a cada 14 dias até a resolução
- Crédito: a menos que prefira anonimato, daremos crédito público após a correção
Esta política aplica-se a todos os repositórios sob a organização ERP-Bem-Comum, incluindo:
- Código-fonte de serviços, bibliotecas e ferramentas
- Configurações de infraestrutura (IaC, workflows de CI/CD, Dockerfiles)
- Documentação que contenha credenciais ou segredos vazados acidentalmente
Fora de escopo:
- Vulnerabilidades em dependências de terceiros — reporte ao mantenedor original. Aceitamos relatos de "estamos vulneráveis a CVE-X via dependência Y" para priorização de upgrade.
- Engenharia social contra mantenedores
- Ataques físicos contra infraestrutura da A Bem Comum
Trabalhamos com divulgação coordenada: combinamos uma data com o relator para publicação simultânea do patch e do advisory. O prazo padrão é de 90 dias após a confirmação, mas pode ser estendido para vulnerabilidades complexas ou reduzido para casos críticos já em exploração ativa.
Se você encontrou um segredo (chave, token, senha) commitado em um repositório:
- Não tente usar o segredo
- Reporte via Security Advisory ou e-mail (acima)
- Inclua o repositório, commit e arquivo onde foi encontrado
Nós rotacionaremos o segredo e faremos a limpeza do histórico.