Responsible disclosure
Chez Speakers Academy, la sécurité de nos systèmes est importante. Pourtant, il se peut qu’une faille s’y glisse. Vous en découvrez une ? Faites-le nous savoir. Ainsi, nous pourrons ensemble mieux protéger nos conférenciers, clients et visiteurs.
Signalez votre découverte ainsi
Envoyez votre rapport à disclosure@speakersacademy.com.
Nous vous demandons de :
- Signaler votre découverte dès que possible.
- Garder le rapport confidentiel jusqu’à ce que nous ayons résolu le problème.
- Fournir suffisamment d’informations pour que nous puissions reproduire le problème. Une explication de la vulnérabilité et l’adresse concernée suffisent généralement. Dans les cas complexes, nous pourrions demander plus de détails.
Ce que nous vous demandons de ne pas faire
Aidez-nous sans causer de dommages. Donc :
- Ne placez pas de logiciels malveillants.
- N’adaptez ni n’effacez pas de données.
- Ne modifiez pas les paramètres des systèmes.
- N’utilisez pas d’attaques par force brute.
- Ne réalisez pas d’attaques de déni de service.
Ce que nous vous promettons
Si vous respectez ces règles, nous ferons les choses suivantes :
- Nous réagissons dans un délai de 5 jours ouvrés. Vous recevrez notre évaluation du rapport et une date prévue pour sa résolution.
- Nous traitons votre rapport de manière confidentielle. Nous ne partagerons pas vos informations sans votre consentement.
- Vous pouvez également signaler de manière anonyme ou sous un pseudonyme.
- Nous vous tiendrons informé de l’avancement.
- Si vous le souhaitez, nous vous mentionnerons comme découvreur lors d’une publication au sujet du problème.
- Nous apprécions votre aide. Pour un rapport, nous pourrions offrir une récompense. Son montant dépend de la gravité de la vulnérabilité et de la qualité de votre rapport.
- Nous collaborons volontiers à une publication, une fois le problème résolu.
Notre objectif est de résoudre chaque problème aussi vite que possible. Nous vous y invitons avec plaisir.
Rapports que nous fermons
Certains rapports ne seront pas pris en charge. Voici lesquels :
- Vulnérabilités connues dans WordPress ou dans des plugins qui ont déjà un CVE.
- Les API xmlrpc ou wp-cron publiques.
- L’absence de records SPF ou DMARC.
À propos de ce règlement
Ce règlement est sous une licence Creative Commons Attribution 3.0. Il est basé sur l’exemple de Floor Terra.