Nous sommes extrêmement reconaissant envers les chercheurs en sécurité et les utilisateurs qui rapportent des vulnérabilités à la Communauté Hasura. Tous les rapports sont minutieusement examinés par un ensemble de volontaires de la communauté et par l'équipe Hasura.
Pour rapporter un problème de sécurité, veuillez nous envoyer un email à build@hasura.io avec tous les détails, en y attachant toutes les informations nécessaires.
- Vous pensez que vous avez découvert une faille de sécurité potentielle dans le Hasura GraphQL Engine ou l'un des composants liés.
- Vous n'êtes pas sûr de la manière dont une vulnérabilité affecte le Hasura GraphQL Engine.
- Vous pensez que vous avez découvert une vulnérabilité dans une autre projet dont Hasura GraphQL Engine dépend. (ex: Heroku, Docker, etc ...)
- Vous voulez rapporter n'importe quel autre risque de sécurité qui pourrait potentiellement affecter les utilisateurs de Hasura GraphQL Engine.
- Vous avez besoin d'aide pour ajuster les composants de Hasura GraphQL Engine pour la sécurité.
- Vous avez besoin d'aide pour appliquer les mises-à-jour de sécurité.
- Votre problème n'est pas lié à la sécurité.
Chaque rapport est confirmé et analysé par les mainteneurs du projet et l'équipe de sécurité dans les 3 jours ouvrés.
Le rapporteur sera informé à chaque étape de l'analyse du problème et de sa résolution (tri -> correction -> publication).
Une date de divulgation publique est négociée par l'équipe de sécurité d'Hasura et le rapporteur du bug. Nous préférons divulguer publiquement le bug dés que possible, dés-lors qu'une atténuation de l'impact pour l'utilisateur est disponible. Il est raisonable de repousser la divulgation quand le bug ou la correction n'est pas encore totalement comprise, la solution n'a pas été testée en détail, ou pour la coordination avec les tiers. La fenêtre de divulgation peut s'étendre du moment de la prise de connaissance de la faille (particulièrement si elle est déjà connue publiquement), à quelques semaines. Nous estimons que le délai moyen entre un rapport et une divulgation publique à environ 7 jours. Les mainteneurs d'Hasura GraphQL Engine et l'équipe de sécurité prendront la décision finale pour décider d'une date de divulgation.
(Certaines sections ont été inspirées et adaptées de https://github.com/kubernetes/website/blob/master/content/en/docs/reference/issues-security/security.md)