> ## Documentation Index
> Fetch the complete documentation index at: https://docs.airys.chat/llms.txt
> Use this file to discover all available pages before exploring further.

# Relatando Problemas de Segurança

> Como relatar vulnerabilidades de segurança no AirysChat

# Relatando Problemas de Segurança

O AirysChat está ansioso para trabalhar com pesquisadores de segurança em todo o mundo para manter o AirysChat e nossos usuários seguros. Se você encontrou um problema em nossos sistemas/aplicativos, entre em contato conosco.

## Relatando uma Vulnerabilidade

Usamos o GitHub para problemas de segurança que afetam nosso projeto. Se você acredita que encontrou uma vulnerabilidade, divulgue-a por meio deste [formulário](https://github.com/airyschat/airyschat/security/advisories/new).

Isso nos permitirá analisar a vulnerabilidade, corrigi-la prontamente e recompensá-lo por seus esforços.

Se você tiver alguma dúvida sobre o processo, entre em contato com **[security@airyschat.com](mailto:security@airyschat.com)**.

Tente ao máximo descrever um impacto claro e realista para o seu relatório, e por favor não abra nenhuma issue pública no GitHub ou nas redes sociais; estamos fazendo o nosso melhor para responder pelo GitHub o mais rápido possível.

<Note>
  Por favor, use o e-mail para dúvidas relacionadas ao processo. As divulgações devem ser feitas via [GitHub](https://github.com/airyschat/airyschat/security/advisories/new).
</Note>

## Versões Suportadas

| Version   | Supported |
| --------- | --------- |
| latest    | ️✅        |
| \< latest | ❌         |

## Vulnerabilidades com as Quais nos Importamos 🫣

<Warning>
  Por favor, não realize testes contra os serviços de produção do AirysChat. Use uma instância self-hosted (`self-hosted instance`) para realizar os testes.
</Warning>

Consideramos as seguintes vulnerabilidades como de alta prioridade:

* Execução remota de comandos
* Injeção de SQL
* Contorno de autenticação (Authentication bypass)
* Escalada de privilégios (Privilege Escalation)
* Cross-site scripting (XSS)
* Execução de ações limitadas de administrador sem autorização
* CSRF

## Vulnerabilidades Não Qualificadas

Consideramos o seguinte fora do escopo, embora possa haver exceções:

* Cabeçalhos de segurança HTTP ausentes
* SPF/DKIM incompletos/ausentes
* Relatórios de ferramentas ou scanners automatizados
* Ataques teóricos sem prova de explorabilidade
* Engenharia social
* Download de arquivo refletido (Reflected file download)
* Ataques físicos
* Algoritmos ou protocolos SSL/TLS/SSH fracos
* Ataques que envolvem acesso físico ao dispositivo de um usuário ou a um dispositivo ou rede que já está seriamente comprometido (por exemplo, man-in-the-middle)
* O usuário ataca a si mesmo
* Ataques de negação de serviço (Denial of Service)
* Ataques de força bruta (Brute force attacks)
* DNSSEC

Se você não tiver certeza sobre o escopo, por favor, crie um [relatório](https://github.com/airyschat/airyschat/security/advisories/new).

## Processo de Triagem

A equipe do AirysChat faz a triagem dos problemas no GitHub semanalmente. Estamos fazendo o nosso melhor para responder pelo GitHub o mais rápido possível, portanto, não abra issues públicas no GitHub ou nas redes sociais e evite relatórios duplicados por e-mail.

* Com base na análise do relatório, a equipe atribuirá uma prioridade ao problema e o moverá para o backlog interno para priorizar a correção.
* Nos casos em que a equipe precisar de mais informações ou houver discordância sobre a gravidade, a equipe comunicará o mesmo no GitHub antes de concluir a triagem.

Após a triagem, a equipe começará a trabalhar no problema com base na seguinte gravidade e prazos:

## Prazos de Resposta

| Severity      | Timeline  |
| ------------- | --------- |
| Critical (P0) | ️  7 Days |
| High          | 30 Days   |
| Medium        | 60 Days   |
| Low           | 90 Days   |

## Melhores Práticas de Segurança

### Para Pesquisadores

* **Teste com Responsabilidade**: Teste apenas em suas próprias instâncias self-hosted
* **Forneça Detalhes Claros**: Inclua os passos para reproduzir, avaliação de impacto e correções sugeridas
* **Seja Paciente**: Dê tempo para nossa equipe investigar e responder
* **Siga a Divulgação Responsável**: Não publique as vulnerabilidades publicamente até que elas sejam corrigidas

### Para Usuários

* **Mantenha-se Atualizado**: Sempre use a versão mais recente do AirysChat
* **Configuração Segura**: Siga as melhores práticas de segurança para sua implantação
* **Monitore os Logs**: Verifique regularmente os logs em busca de atividades suspeitas
* **Relate Problemas**: Se você notar algo incomum, relate através dos canais adequados

## Programa de Recompensas (Bounty Program)

Embora não tenhamos atualmente um programa formal de bug bounty, reconhecemos e agradecemos os pesquisadores de segurança que nos ajudam a melhorar a segurança do AirysChat:

* **Hall da Fama**: Reconhecimento em nossa página de agradecimentos de segurança
* **Comunicação Direta**: Trabalhe diretamente com nossa equipe de segurança
* **Acesso Antecipado**: Obtenha acesso antecipado a atualizações e patches de segurança

## Obtendo Ajuda

Se você precisar de assistência com relatórios de segurança:

* **Dúvidas sobre o Processo**: Entre em contato com [security@airyschat.com](mailto:security@airyschat.com)
* **Problemas Técnicos**: Use nossa [comunidade no Discord](https://discord.com/invite/cJXdrwS)
* **Suporte Geral**: Consulte nossa [documentação](/contributing-guide/common-errors)

## Agradecimentos

Obrigado por manter o AirysChat e nossos usuários seguros. 🙇

Seus esforços nos ajudam a manter uma plataforma segura para milhares de empresas em todo o mundo. Agradecemos o tempo e a experiência que você dedica para tornar o AirysChat melhor para todos.

***

Lembre-se: A segurança é uma responsabilidade compartilhada. Juntos, podemos tornar o AirysChat mais seguro para todos.
