Seule la version majeure courante est supportée pour les correctifs de sécurité. Les versions antérieures ne reçoivent ni patches ni backports.

La version courante est tracée dans backend/core/__version__.py.

Si tu découvres une vulnérabilité dans Gungnir, ne crée pas d'issue publique. Envoie un email à :

📧 contact@scarletwolf.cloud (sujet : [SECURITY] <résumé court>)

• Description de la vulnérabilité
• Reproduction step-by-step (le plus court possible)
• Impact estimé (lecture data per-user ? RCE ? escalation admin ? fuite token chiffré ?)
• Version Gungnir testée (/api/version)
• Tout patch suggéré (optionnel mais apprécié)

• Accusé de réception sous 72h ouvrées
• Triage et reproduction sous 7 jours ouvrés
• Correctif déployé selon criticité :
  • Critique (RCE / fuite massive / contournement auth) : sous 48h
  • Haute (escalation user / fuite token / corruption data) : sous 7 jours
  • Moyenne / Basse : prochaine release mineure

Nous demandons un délai de 30 jours entre le signalement et toute publication, pour avoir le temps de patcher et déployer. Ce délai est négociable selon la criticité.

Tu peux nous demander d'être mentionné dans les release notes du correctif (avec ton nom ou un alias). On le fait avec plaisir.

Les éléments suivants ne sont pas considérés comme des vulnérabilités à reporter :

• Découverte d'un endpoint admin protégé par token (le hash s'oppose à la lecture, pas l'existence)
• Self-XSS via configuration custom utilisateur
• Comportements d'un plugin tiers non maintenu par Scarlet Wolf
• Scenarios qui requièrent un accès admin déjà obtenu légitimement
• Manque de rate-limit sur des endpoints publics dont l'abus est borné (signup ratelimité IP)

Pas de programme bounty rémunéré à ce jour. Les contributions sécurité sont remerciées publiquement (avec ton accord) et peuvent être valorisées en accès anticipé / abonnement offert sur l'offre Standard.

Merci de contribuer à la sécurité de Gungnir et de respecter ses utilisateurs.