Questo documento descrive come segnalare vulnerabilità di sicurezza relative ai progetti dell'organizzazione aeffe-studio e come gestiamo la divulgazione responsabile.
Metodo preferito: invia una segnalazione privata a
Email: aeffestudio@protonmail.com
Se non vuoi usare email, puoi aprire una segnalazione privata seguendo le istruzioni fornite dai maintainer (contatto disponibile nella pagina del repository).
Non pubblicare exploit completi, chiavi private, password, dati personali sensibili o PoC che consentono l'abuso immediato del sistema. Se la segnalazione contiene informazioni sensibili, usa il canale privato indicato sopra.
Per aiutarci a valutare e riprodurre la vulnerabilità, includi quanto segue quando possibile:
- Titolo sintetico della vulnerabilità.
- Descrizione dell'impatto e del comportamento osservato.
- Versioni interessate (es.
v1.2.3, range di versioni o commit SHA). - Passi per riprodurre (comandi, input, condizioni ambientali).
- Esempio minimo riproducibile o PoC (se non sensibile; altrimenti invialo in privato).
- Log, stack trace, output rilevanti.
- Eventuali workaround o mitigazioni temporanee già provate.
- Contatto per comunicazioni riservate (email o canale alternativo).
- Ricezione: confermiamo la ricezione entro 72 ore all'indirizzo fornito.
- Valutazione: classifichiamo la gravità e la riproducibilità; potremmo chiedere dettagli aggiuntivi.
- Mitigazione: lavoriamo su una correzione o mitigazione e coordiniamo la divulgazione responsabile.
- Divulgazione: concordiamo con il segnalante la tempistica della divulgazione pubblica; rilasciamo patch e advisory.
- CVE: se applicabile, richiediamo o assegniamo un identificatore CVE e pubblichiamo un advisory.
- Prima risposta: entro 72 ore.
- Aggiornamenti: forniremo aggiornamenti regolari fino alla risoluzione.
- Riservatezza: trattiamo le segnalazioni in modo confidenziale fino alla divulgazione concordata.
- Lavoriamo con il segnalante per risolvere il problema prima della divulgazione pubblica.
- Non pubblicheremo dettagli tecnici completi fino a quando non sarà disponibile una correzione o una mitigazione adeguata.
- Se il segnalante desidera la divulgazione coordinata, concordiamo una data e un advisory congiunto.
Se una vulnerabilità viene pubblicata pubblicamente prima che sia stata risolta, la priorità di intervento può aumentare e potremmo accelerare la mitigazione. Contattaci immediatamente tramite il canale privato.
Apprezziamo i contributi della community. Se desideri essere riconosciuto pubblicamente per la segnalazione, indicacelo; altrimenti rispetteremo l'anonimato su richiesta.
- Posso inviare PoC? Sì, ma preferibilmente tramite canale privato se il PoC è exploitabile.
- Assegnate CVE? Sì, quando appropriato.
- Tempi di patch? Dipendono dalla gravità e dalla complessità; forniremo stime dopo la valutazione iniziale.