# Security Policy

## Reporting a vulnerability

Acadenice prend la securite tres au serieux. Si tu decouvres une vulnerabilite dans `formation-hub`, **ne pas l'ouvrir en issue publique**.

Contacte directement : **security@acadenice.fr**

Inclure :
- Description de la vulnerabilite
- Etapes pour reproduire
- Impact estime
- Version / commit SHA concerne
- Ta contact info pour la reponse coordonnee

## Reponse

| Etape | Delai cible |
|-------|-------------|
| Accuse de reception | < 48h ouvrees |
| Triage initial | < 5j ouvres |
| Patch developpe | depend severite (CVSS) |
| Disclosure publique | apres patch deploye en prod, embargo coordonne |

CVE assignee si vulnerabilite serieuse, et publication sur GitHub Security Advisories.

## Scope

| In scope | Out of scope |
|----------|--------------|
| Code custom du bridge service (`bridge/`) | Vulnerabilites Docmost upstream (reporter chez eux) |
| Configurations infra/CI (`compose*.yml`, `.github/`) | Vulnerabilites Baserow upstream (reporter chez eux) |
| Scripts ops (`scripts/`) | Vulnerabilites Postgres/Redis/Traefik (reporter chez les vendors) |
| Schemas et formules Baserow customs (`baserow/`) | Vulnerabilites browsers / OS |

## Classification severites (CVSS-like)

- **CRITICAL** : RCE, data leak massive, auth bypass — patch < 24h
- **HIGH** : escalade privileges, data leak partiel — patch < 7j
- **MEDIUM** : DoS, info disclosure non-sensible — patch < 30j
- **LOW** : best-practice deviation, low-impact — next release

## Bonnes pratiques

Avant de signaler, verifie :
- Ton .env n'est pas commit
- Ton API token n'est pas expose en clair quelque part
- Tu as la derniere version de Docker / Docmost / Baserow

## Hall of fame

Liste des reporters (avec leur permission) :
- (vide pour l'instant)

## License

Cette politique est applicable au repo `AcadeNice/wiki`. Voir `LICENSE` pour les conditions de redistribution.