| Versión | Soporte |
|---|---|
| 2.0.x | ✅ Soportada |
| < 2.0 | ❌ No soportada |
Si descubres una vulnerabilidad de seguridad, por favor NO abras un issue público.
-
Email: Envía un correo a francisco.barrientos@usach.cl con:
- Descripción detallada de la vulnerabilidad
- Pasos para reproducir el problema
- Impacto potencial
- Sugerencias de solución (si las tienes)
-
Respuesta: Recibirás confirmación en 48 horas
-
Resolución: Trabajaremos en un fix y te notificaremos cuando esté disponible
# ✅ Correcto: database.ini en .gitignore
database.ini
# ❌ NUNCA hagas esto:
git add database.ini
git commit -m "agrega credenciales"- Configura SSL/TLS para conexiones a SQL Server
- Usa credenciales con permisos mínimos necesarios
- Rota contraseñas regularmente
# Actualizar dependencias
pip install --upgrade -r requirements.txt
# Verificar vulnerabilidades conocidas
pip-audit# ✅ Correcto: Usa parámetros
query = "SELECT * FROM Tabla WHERE id = ?"
cursor.execute(query, (id_valor,))
# ❌ NUNCA hagas esto:
query = f"SELECT * FROM Tabla WHERE id = {id_valor}"
cursor.execute(query)# ✅ Correcto
logger.info("Conexión exitosa a la base de datos")
# ❌ Evitar
logger.info(f"Conectado con usuario {username} y password {password}")# ✅ Correcto
if not validate_date_range(desde, hasta):
raise ValueError("Rango de fechas inválido")- SQL Injection: Queries concatenadas con f-strings
- Credenciales expuestas: database.ini en repositorio Git
- Conexiones no cerradas: Fugas de recursos
Solución: Actualizar a versión 2.0+
No hay vulnerabilidades conocidas. Si encuentras alguna, repórtala siguiendo el proceso anterior.
Última actualización: Febrero 2026
Contacto de seguridad: francisco.barrientos@usach.cl