Sécurité
Cette page décrit comment signaler une vulnérabilité ou un incident de sécurité lié à Alfred OS.
Ce document est un gabarit générique fourni à titre indicatif. Il comporte des champs à compléter entre crochets et ne constitue pas un avis juridique. Faites le relire et adapter par un professionnel du droit avant toute publication.
Contact sécurité
Pour signaler une vulnérabilité, contactez [security@alfred.example]. Merci d’inclure une description claire, les étapes de reproduction, l’impact potentiel et toute preuve utile sans exposer de données personnelles.
Règles de test
- Ne pas accéder, modifier, supprimer ou exfiltrer des données qui ne vous appartiennent pas.
- Ne pas perturber le service, lancer de DDoS, spam, brute force ou scan destructif.
- Ne pas publier publiquement une faille avant correction ou accord écrit.
- Utiliser uniquement vos propres comptes et environnements de test.
Périmètre
Périmètre initial : application web Alfred OS, API publiques, Client Rooms, authentification, billing, webhooks, BYOK, mémoire, agents et exports. Les exclusions doivent être précisées : [domaines et environnements autorisés].
Engagements
- Accuser réception du signalement dans un délai cible.
- Évaluer l’impact et prioriser la correction.
- Informer le chercheur de sécurité des suites raisonnables.
- Reconnaître la contribution si le chercheur le souhaite et si le signalement respecte les règles.