Güvenlik Politikası
Sentinel DB 360 sorumlu güvenlik araştırmacılarıyla işbirliğini önemser. Bu sayfa, bir güvenlik açığı tespit ettiğinizde nasıl iletişime geçeceğinizi, yanıt taahhütlerimizi ve koordineli ifşa zaman çizelgesini özetler.
İletişim
- E-posta:
[email protected] - PGP anahtarı: /.well-known/security.txt
- RFC 9116 uyumlu
security.txt:/.well-known/security.txt
90 Gün Koordineli İfşa
| Gün | Aşama |
|---|---|
| 0 | Açık raporlanır |
| 1–2 | Onay + üçleme |
| 3–7 | Şiddet değerlendirmesi, düzeltme planı raportör ile paylaşılır |
| 30 | İç düzeltme main dalında (gerekirse release branch'ler için backport) |
| 60 | Müşteri tarafına ACR push'u, rollout başlar |
| 90 | Public advisory + CVE (varsa). Raportör, talep ederse Onur Tahtası'na eklenir. |
Aktif olarak istismar edilen bir açık keşfederseniz aynı gün advisory yayınlarız. 90 günlük takvim yalnızca henüz exploit edilmemiş bulgular için koordineli ifşa süresidir.
Kapsam
Dahil
backend/vefrontend/altındaki üretim kodu- Deploy otomasyonu:
bootstrap.sh,deploy.sh,tools/ - Site:
site/*.html,site/main.js?v=20260528a - Dokümantasyon dışı API'ler:
/api/*ve/api/v2/*
Hariç
- Self-XSS saldırıları
docs/15-runbooks/'ta listelenmemiş endpoint'lerin rate-limit eksikleri- Bilgi sızdırmaya yol açmayan DoS saldırıları
- Kimlik sızıntısı vektörü olmayan spam / kaba kuvvet
- Üçüncü taraf hizmet açıkları (Azure OpenAI, Microsoft 365, MongoDB Atlas) — onları kendi sağlayıcılarına bildirin
Safe Harbor
Bu politikaya iyi niyetle uyduğunuz sürece:
- Yasal işlem başlatmayız.
- Sorunu üretmek ve anlamak için sizinle iş birliği yaparız.
- Talep ederseniz Hall of Fame sayfasında alenen teşekkür ederiz.