Güvenlik PolitikasıSecurity Policy

SentinelDB360 sorumlu güvenlik araştırmacılarıyla işbirliğini önemser. Bu sayfa, bir güvenlik açığı tespit ettiğinizde nasıl iletişime geçeceğinizi, yanıt taahhütlerimizi ve koordineli ifşa zaman çizelgesini özetler. SentinelDB360 values collaboration with responsible security researchers. This page summarises how to contact us when you find a vulnerability, our response commitments, and our coordinated-disclosure timeline.

İletişimContact

E-postaEmail: [email protected]
PGP anahtarıPGP key: /.well-known/security.txt
RFC 9116 uyumluRFC 9116-compliant security.txt: /.well-known/security.txt

90 Gün Koordineli İfşa90-Day Coordinated Disclosure

GünDay	AşamaPhase
0	Açık raporlanırVulnerability reported
1–2	Onay + üçlemeAcknowledgement + triage
3–7	Şiddet değerlendirmesi, düzeltme planı raportör ile paylaşılırSeverity assessment; remediation plan shared with the reporter
30	İç düzeltme `main` dalında (gerekirse release branch'ler için backport)Internal fix on the `main` branch (backported to release branches if needed)
60	Müşteri tarafına ACR push'u, rollout başlarACR push to customers; rollout begins
90	Public advisory + CVE (varsa). Raportör, talep ederse Onur Tahtası'na eklenir.Public advisory + CVE (if applicable). The reporter is added to the Hall of Fame on request.

Aktif olarak istismar edilen bir açık keşfederseniz aynı gün advisory yayınlarız. 90 günlük takvim yalnızca henüz exploit edilmemiş bulgular için koordineli ifşa süresidir. If you discover a vulnerability that is being actively exploited, we publish a same-day advisory. The 90-day timeline applies only to coordinated disclosure of findings that are not yet being exploited.

KapsamScope

DahilIn scope

Üretim kodu: backend/ ve frontend/ altındaProduction code under backend/ and frontend/
Deploy otomasyonu: bootstrap.sh, deploy.sh, tools/Deployment automation: bootstrap.sh, deploy.sh, tools/
Site: site/*.html, site/main.jsWebsite: site/*.html, site/main.js
Belgelenmemiş API'ler: /api/* ve /api/v2/*Undocumented APIs: /api/* and /api/v2/*

HariçOut of scope

Self-XSS saldırılarıSelf-XSS attacks
Belgelerde listelenmemiş endpoint'lerde rate-limit eksikleriMissing rate limits on undocumented endpoints
Bilgi sızdırmaya yol açmayan DoS saldırılarıDoS attacks that do not lead to information disclosure
Kimlik sızıntısı vektörü olmayan spam / kaba kuvvetSpam / brute force with no credential-leak vector
Üçüncü taraf hizmet açıkları (Azure OpenAI, Microsoft 365, MongoDB Atlas) — onları kendi sağlayıcılarına bildirinThird-party service vulnerabilities (Azure OpenAI, Microsoft 365, MongoDB Atlas) — report those to the respective providers

Safe Harbor

Bu politikaya iyi niyetle uyduğunuz sürece: As long as you act in good faith and follow this policy:

Yasal işlem başlatmayız.We will not pursue legal action.
Sorunu üretmek ve anlamak için sizinle iş birliği yaparız.We will work with you to reproduce and understand the issue.
Talep ederseniz Hall of Fame sayfasında alenen teşekkür ederiz.We will publicly thank you on the Hall of Fame page on request.

Bu politika kaynak repo'da SECURITY.md olarak da yayımlanır. Tutarsızlık durumunda SECURITY.md kanonik kaynaktır. This policy is also published as SECURITY.md in the source repo. In case of any discrepancy, SECURITY.md is the canonical source.