Divulgation responsable
Nous construisons un produit de sécurité : nous prenons donc au sérieux les signalements sur notre propre sécurité. Si vous avez trouvé une vulnérabilité, cette page explique comment nous la signaler — et ce que nous promettons en retour.
Périmètre
Dans le périmètre — tout ce qui affecte la confidentialité, l’intégrité ou la disponibilité du service Smart WAF et des systèmes que nous exploitons :
- nos nœuds edge et la data plane qui filtre le trafic ;
- l’API du control plane et le portail client ;
- ce site web et son infrastructure ;
- les problèmes d’isolation des tenants (tout chemin permettant à un client d’atteindre les données d’un autre).
Hors périmètre — les signalements sur lesquels nous ne pouvons pas agir ou qui décrivent un comportement attendu :
- les découvertes dans des services tiers que nous n’exploitons pas (signalez-les à leurs propriétaires) ;
- les tests de déni de service volumétrique contre notre edge de production — merci de ne pas les mener ;
- l’ingénierie sociale visant notre personnel, nos clients ou nos partenaires ;
- l’absence d’en-têtes de sécurité ou les suggestions de bonnes pratiques sans impact démontrable.
Sphère de sécurité
Si vous faites un effort de bonne foi pour respecter cette politique, nous n’engagerons ni ne soutiendrons aucune action en justice contre vous pour votre recherche. La bonne foi signifie : vous restez dans le périmètre, vous n’accédez pas aux données d’autrui, ne les modifiez ni ne les supprimez au-delà de ce qui est nécessaire pour démontrer le problème, vous ne dégradez pas notre service pour les autres, et vous nous laissez une chance raisonnable de corriger le problème avant toute divulgation publique.
Nous ne traitons pas une recherche honnête et prudente comme une attaque. Si vous n’êtes pas sûr qu’un élément soit dans le périmètre, demandez-nous d’abord.
À quoi s’attendre
Nous sommes une petite équipe et nous serons honnêtes à ce sujet plutôt que de promettre un niveau de service que nous ne pouvons garantir :
- nous visons à accuser réception de votre signalement sous cinq jours ouvrés ;
- nous vous tiendrons informé pendant que nous enquêtons et confirmons le problème ;
- nous vous préviendrons lorsqu’un correctif sera déployé, et nous serons heureux de vous créditer si vous le souhaitez (ou de préserver votre anonymat sinon).
Nous n’exploitons pas actuellement de programme de prime aux bogues rémunéré. La reconnaissance et un remerciement sincère sont ce que nous pouvons offrir aujourd’hui.
Contact
Écrivez à security@waf.smartis.site avec une description claire, les étapes de reproduction et tout proof-of-concept que vous pouvez partager. C’est la même adresse publiée dans notre /.well-known/security.txt lisible par machine.