Divulgation responsable

Vous avez découvert un problème de sécurité ?

Nous prenons chaque signalement au sérieux — une plateforme destinée aux enfants, avec création de contenu et une file de révision par des savants, attire beaucoup l'attention des chercheurs en sécurité, et nous préférons l'apprendre de votre bouche plutôt que de Twitter. Voici notre politique.

Comment signaler

Envoyez un compte rendu clair (quoi, où, étapes de reproduction, impact) à moderation@azhar-platform.example. Joignez un enregistrement d'écran ou une trace HTTP si vous en disposez. Merci de NE PAS divulguer publiquement la découverte avant que nous ayons eu la possibilité de la corriger.

Envoyer un signalement

Nos engagements

  • Nous accusons réception de chaque signalement dans un délai de 2 jours ouvrés.
  • Nous effectuons le triage et attribuons un niveau de gravité dans un délai de 5 jours ouvrés.
  • Nous corrigeons les problèmes critiques sous 7 jours ; les problèmes majeurs sous 30 jours ; les problèmes moyens et mineurs lors du prochain cycle de publication régulier.
  • Nous vous créditons publiquement (dans notre journal des modifications et dans security.txt) une fois le correctif déployé, si vous le souhaitez — l'anonymat est également possible.

Dans le périmètre

  • Contournements d'authentification / de session
  • Failles d'autorisation — lecture ou écriture de données non autorisées (par utilisateur, par famille, par administrateur-savant)
  • Injections (SQL, NoSQL, injection de prompt échappant à notre prompt système)
  • XSS stocké ou injection HTML sur toute surface rendue
  • Contournements du limiteur de débit, de la file de signalement d'abus ou du pipeline de révision des savants

Hors périmètre

  • Ingénierie sociale ou hameçonnage visant le personnel
  • Attaques physiques contre l'infrastructure
  • Démonstrations de DoS / DDoS contre notre déploiement en production (veuillez tester en local)
  • Vulnérabilités sur les services tiers dont nous dépendons (signalez-les directement à Firebase, Pinecone, Anthropic, OpenAI)

Merci de contribuer à la sécurité des familles et des savants. Nous sommes une petite équipe et vos signalements améliorent la plateforme.