Pular para o conteúdo principal

Relatando Problemas de Segurança

O AirysChat está ansioso para trabalhar com pesquisadores de segurança em todo o mundo para manter o AirysChat e nossos usuários seguros. Se você encontrou um problema em nossos sistemas/aplicativos, entre em contato conosco.

Relatando uma Vulnerabilidade

Usamos o GitHub para problemas de segurança que afetam nosso projeto. Se você acredita que encontrou uma vulnerabilidade, divulgue-a por meio deste formulário. Isso nos permitirá analisar a vulnerabilidade, corrigi-la prontamente e recompensá-lo por seus esforços. Se você tiver alguma dúvida sobre o processo, entre em contato com security@airyschat.com. Tente ao máximo descrever um impacto claro e realista para o seu relatório, e por favor não abra nenhuma issue pública no GitHub ou nas redes sociais; estamos fazendo o nosso melhor para responder pelo GitHub o mais rápido possível.
Por favor, use o e-mail para dúvidas relacionadas ao processo. As divulgações devem ser feitas via GitHub.

Versões Suportadas

VersionSupported
latest️✅
< latest

Vulnerabilidades com as Quais nos Importamos 🫣

Por favor, não realize testes contra os serviços de produção do AirysChat. Use uma instância self-hosted (self-hosted instance) para realizar os testes.
Consideramos as seguintes vulnerabilidades como de alta prioridade:
  • Execução remota de comandos
  • Injeção de SQL
  • Contorno de autenticação (Authentication bypass)
  • Escalada de privilégios (Privilege Escalation)
  • Cross-site scripting (XSS)
  • Execução de ações limitadas de administrador sem autorização
  • CSRF

Vulnerabilidades Não Qualificadas

Consideramos o seguinte fora do escopo, embora possa haver exceções:
  • Cabeçalhos de segurança HTTP ausentes
  • SPF/DKIM incompletos/ausentes
  • Relatórios de ferramentas ou scanners automatizados
  • Ataques teóricos sem prova de explorabilidade
  • Engenharia social
  • Download de arquivo refletido (Reflected file download)
  • Ataques físicos
  • Algoritmos ou protocolos SSL/TLS/SSH fracos
  • Ataques que envolvem acesso físico ao dispositivo de um usuário ou a um dispositivo ou rede que já está seriamente comprometido (por exemplo, man-in-the-middle)
  • O usuário ataca a si mesmo
  • Ataques de negação de serviço (Denial of Service)
  • Ataques de força bruta (Brute force attacks)
  • DNSSEC
Se você não tiver certeza sobre o escopo, por favor, crie um relatório.

Processo de Triagem

A equipe do AirysChat faz a triagem dos problemas no GitHub semanalmente. Estamos fazendo o nosso melhor para responder pelo GitHub o mais rápido possível, portanto, não abra issues públicas no GitHub ou nas redes sociais e evite relatórios duplicados por e-mail.
  • Com base na análise do relatório, a equipe atribuirá uma prioridade ao problema e o moverá para o backlog interno para priorizar a correção.
  • Nos casos em que a equipe precisar de mais informações ou houver discordância sobre a gravidade, a equipe comunicará o mesmo no GitHub antes de concluir a triagem.
Após a triagem, a equipe começará a trabalhar no problema com base na seguinte gravidade e prazos:

Prazos de Resposta

SeverityTimeline
Critical (P0)️ 7 Days
High30 Days
Medium60 Days
Low90 Days

Melhores Práticas de Segurança

Para Pesquisadores

  • Teste com Responsabilidade: Teste apenas em suas próprias instâncias self-hosted
  • Forneça Detalhes Claros: Inclua os passos para reproduzir, avaliação de impacto e correções sugeridas
  • Seja Paciente: Dê tempo para nossa equipe investigar e responder
  • Siga a Divulgação Responsável: Não publique as vulnerabilidades publicamente até que elas sejam corrigidas

Para Usuários

  • Mantenha-se Atualizado: Sempre use a versão mais recente do AirysChat
  • Configuração Segura: Siga as melhores práticas de segurança para sua implantação
  • Monitore os Logs: Verifique regularmente os logs em busca de atividades suspeitas
  • Relate Problemas: Se você notar algo incomum, relate através dos canais adequados

Programa de Recompensas (Bounty Program)

Embora não tenhamos atualmente um programa formal de bug bounty, reconhecemos e agradecemos os pesquisadores de segurança que nos ajudam a melhorar a segurança do AirysChat:
  • Hall da Fama: Reconhecimento em nossa página de agradecimentos de segurança
  • Comunicação Direta: Trabalhe diretamente com nossa equipe de segurança
  • Acesso Antecipado: Obtenha acesso antecipado a atualizações e patches de segurança

Obtendo Ajuda

Se você precisar de assistência com relatórios de segurança:

Agradecimentos

Obrigado por manter o AirysChat e nossos usuários seguros. 🙇 Seus esforços nos ajudam a manter uma plataforma segura para milhares de empresas em todo o mundo. Agradecemos o tempo e a experiência que você dedica para tornar o AirysChat melhor para todos.
Lembre-se: A segurança é uma responsabilidade compartilhada. Juntos, podemos tornar o AirysChat mais seguro para todos.