Skip to content

Security: ERP-Bem-Comum/core-api

SECURITY.md

Política de Segurança

A segurança do ERP Bem Comum é levada a sério. Esta organização hospeda software que pode operar com dados sensíveis de uma organização do terceiro setor — qualquer vulnerabilidade tem potencial de impactar beneficiários reais.

Reportando uma vulnerabilidade

Não abra uma issue pública para reportar vulnerabilidades.

Em vez disso, use uma das seguintes vias de divulgação privada:

Opção 1 — GitHub Security Advisory (preferida)

Em qualquer repositório da organização:

  1. Acesse a aba Security do repositório
  2. Clique em Report a vulnerability
  3. Preencha o formulário; somente mantenedores autorizados verão o relato

Esta é a via preferida porque cria um canal privado de comunicação, gera CVE quando aplicável e permite coordenar a divulgação.

Opção 2 — E-mail direto

Se o repositório não tiver Security Advisories habilitadas, envie e-mail a gaderaldo10@gmail.com com:

  • Descrição da vulnerabilidade
  • Passos para reproduzir
  • Impacto observado ou estimado
  • Versão / commit afetado
  • Quaisquer mitigações conhecidas

Use o assunto: [SECURITY] <repositório>: <resumo curto>.

O que esperar

  • Confirmação de recebimento: em até 72 horas
  • Avaliação inicial: em até 7 dias
  • Atualizações de progresso: ao menos a cada 14 dias até a resolução
  • Crédito: a menos que prefira anonimato, daremos crédito público após a correção

Escopo

Esta política aplica-se a todos os repositórios sob a organização ERP-Bem-Comum, incluindo:

  • Código-fonte de serviços, bibliotecas e ferramentas
  • Configurações de infraestrutura (IaC, workflows de CI/CD, Dockerfiles)
  • Documentação que contenha credenciais ou segredos vazados acidentalmente

Fora de escopo:

  • Vulnerabilidades em dependências de terceiros — reporte ao mantenedor original. Aceitamos relatos de "estamos vulneráveis a CVE-X via dependência Y" para priorização de upgrade.
  • Engenharia social contra mantenedores
  • Ataques físicos contra infraestrutura da A Bem Comum

Divulgação coordenada

Trabalhamos com divulgação coordenada: combinamos uma data com o relator para publicação simultânea do patch e do advisory. O prazo padrão é de 90 dias após a confirmação, mas pode ser estendido para vulnerabilidades complexas ou reduzido para casos críticos já em exploração ativa.

Segredos vazados acidentalmente

Se você encontrou um segredo (chave, token, senha) commitado em um repositório:

  1. Não tente usar o segredo
  2. Reporte via Security Advisory ou e-mail (acima)
  3. Inclua o repositório, commit e arquivo onde foi encontrado

Nós rotacionaremos o segredo e faremos a limpeza do histórico.

There aren't any published security advisories