Relatando Problemas de Segurança
O AirysChat está ansioso para trabalhar com pesquisadores de segurança em todo o mundo para manter o AirysChat e nossos usuários seguros. Se você encontrou um problema em nossos sistemas/aplicativos, entre em contato conosco.Relatando uma Vulnerabilidade
Usamos o GitHub para problemas de segurança que afetam nosso projeto. Se você acredita que encontrou uma vulnerabilidade, divulgue-a por meio deste formulário. Isso nos permitirá analisar a vulnerabilidade, corrigi-la prontamente e recompensá-lo por seus esforços. Se você tiver alguma dúvida sobre o processo, entre em contato com security@airyschat.com. Tente ao máximo descrever um impacto claro e realista para o seu relatório, e por favor não abra nenhuma issue pública no GitHub ou nas redes sociais; estamos fazendo o nosso melhor para responder pelo GitHub o mais rápido possível.Por favor, use o e-mail para dúvidas relacionadas ao processo. As divulgações devem ser feitas via GitHub.
Versões Suportadas
| Version | Supported |
|---|---|
| latest | ️✅ |
| < latest | ❌ |
Vulnerabilidades com as Quais nos Importamos 🫣
Consideramos as seguintes vulnerabilidades como de alta prioridade:- Execução remota de comandos
- Injeção de SQL
- Contorno de autenticação (Authentication bypass)
- Escalada de privilégios (Privilege Escalation)
- Cross-site scripting (XSS)
- Execução de ações limitadas de administrador sem autorização
- CSRF
Vulnerabilidades Não Qualificadas
Consideramos o seguinte fora do escopo, embora possa haver exceções:- Cabeçalhos de segurança HTTP ausentes
- SPF/DKIM incompletos/ausentes
- Relatórios de ferramentas ou scanners automatizados
- Ataques teóricos sem prova de explorabilidade
- Engenharia social
- Download de arquivo refletido (Reflected file download)
- Ataques físicos
- Algoritmos ou protocolos SSL/TLS/SSH fracos
- Ataques que envolvem acesso físico ao dispositivo de um usuário ou a um dispositivo ou rede que já está seriamente comprometido (por exemplo, man-in-the-middle)
- O usuário ataca a si mesmo
- Ataques de negação de serviço (Denial of Service)
- Ataques de força bruta (Brute force attacks)
- DNSSEC
Processo de Triagem
A equipe do AirysChat faz a triagem dos problemas no GitHub semanalmente. Estamos fazendo o nosso melhor para responder pelo GitHub o mais rápido possível, portanto, não abra issues públicas no GitHub ou nas redes sociais e evite relatórios duplicados por e-mail.- Com base na análise do relatório, a equipe atribuirá uma prioridade ao problema e o moverá para o backlog interno para priorizar a correção.
- Nos casos em que a equipe precisar de mais informações ou houver discordância sobre a gravidade, a equipe comunicará o mesmo no GitHub antes de concluir a triagem.
Prazos de Resposta
| Severity | Timeline |
|---|---|
| Critical (P0) | ️ 7 Days |
| High | 30 Days |
| Medium | 60 Days |
| Low | 90 Days |
Melhores Práticas de Segurança
Para Pesquisadores
- Teste com Responsabilidade: Teste apenas em suas próprias instâncias self-hosted
- Forneça Detalhes Claros: Inclua os passos para reproduzir, avaliação de impacto e correções sugeridas
- Seja Paciente: Dê tempo para nossa equipe investigar e responder
- Siga a Divulgação Responsável: Não publique as vulnerabilidades publicamente até que elas sejam corrigidas
Para Usuários
- Mantenha-se Atualizado: Sempre use a versão mais recente do AirysChat
- Configuração Segura: Siga as melhores práticas de segurança para sua implantação
- Monitore os Logs: Verifique regularmente os logs em busca de atividades suspeitas
- Relate Problemas: Se você notar algo incomum, relate através dos canais adequados
Programa de Recompensas (Bounty Program)
Embora não tenhamos atualmente um programa formal de bug bounty, reconhecemos e agradecemos os pesquisadores de segurança que nos ajudam a melhorar a segurança do AirysChat:- Hall da Fama: Reconhecimento em nossa página de agradecimentos de segurança
- Comunicação Direta: Trabalhe diretamente com nossa equipe de segurança
- Acesso Antecipado: Obtenha acesso antecipado a atualizações e patches de segurança
Obtendo Ajuda
Se você precisar de assistência com relatórios de segurança:- Dúvidas sobre o Processo: Entre em contato com security@airyschat.com
- Problemas Técnicos: Use nossa comunidade no Discord
- Suporte Geral: Consulte nossa documentação
Agradecimentos
Obrigado por manter o AirysChat e nossos usuários seguros. 🙇 Seus esforços nos ajudam a manter uma plataforma segura para milhares de empresas em todo o mundo. Agradecemos o tempo e a experiência que você dedica para tornar o AirysChat melhor para todos.Lembre-se: A segurança é uma responsabilidade compartilhada. Juntos, podemos tornar o AirysChat mais seguro para todos.