AcadeNice/Wiki
1
0
Fork 0
Code Issues Pull requests Releases Activity Actions
Wiki/SECURITY.md
Corentin JOGUET 668576cdc4 chore: initial commit — formation-hub conception phase 
Conception complete (Phase 0) pour formation-hub Acadenice :

- 19 docs Merise Agile + UML + GitOps + plans (tests/deploy/ops/api)
  cf docs/00-readme.md pour l'index complet
- Stack Docker compose (Docmost + Baserow + Postgres + Redis + MinIO local FS)
  compose.yml + compose.staging.yml + compose.prod.yml
- CI/CD GitHub Actions skeleton (ci, deploy-staging, deploy-prod)
- Bridge service skeleton (Hono + TS + Biome + Vitest + zod + pino)
- Templates GitHub : PR + 3 issue types + CODEOWNERS + dependabot.yml
- Scripts ops : healthcheck, backup quotidien, smoke-test post-deploy
- LICENSE AGPL-3.0 + SECURITY.md + CONTRIBUTING.md + CHANGELOG.md
- Diagramme drawIO archi infra (XML importable dans diagrams.net)

Decisions structurelles enregistrees :
- Scope CFA + Agence avec entite PERSONNE pivot multi-roles (ADR-001)
- Stack composite Docmost AGPL + Baserow MIT + bridge custom (ADR-001)
- Path B : UX quasi-unified via Tiptap node-views custom (ADR-002)
- Monorepo trunk-based development (ADR-003)
- Postgres separe Docmost/Baserow (ADR-004)
- Bridge stack Node 22 + Hono (ADR-005)
- Repo neuf prefere a fork Docmost
- Prod-like des le jour 1 (pas MVP)
2026-05-07 12:16:19 +02:00

1.9 KiB
Raw Permalink Blame History

Security Policy

Reporting a vulnerability

Acadenice prend la securite tres au serieux. Si tu decouvres une vulnerabilite dans formation-hub, ne pas l'ouvrir en issue publique.

Contacte directement : security@acadenice.fr

Inclure :

  • Description de la vulnerabilite
  • Etapes pour reproduire
  • Impact estime
  • Version / commit SHA concerne
  • Ta contact info pour la reponse coordonnee

Reponse

Etape Delai cible
Accuse de reception < 48h ouvrees
Triage initial < 5j ouvres
Patch developpe depend severite (CVSS)
Disclosure publique apres patch deploye en prod, embargo coordonne

CVE assignee si vulnerabilite serieuse, et publication sur GitHub Security Advisories.

Scope

In scope Out of scope
Code custom du bridge service (bridge/) Vulnerabilites Docmost upstream (reporter chez eux)
Configurations infra/CI (compose*.yml, .github/) Vulnerabilites Baserow upstream (reporter chez eux)
Scripts ops (scripts/) Vulnerabilites Postgres/Redis/Traefik (reporter chez les vendors)
Schemas et formules Baserow customs (baserow/) Vulnerabilites browsers / OS

Classification severites (CVSS-like)

  • CRITICAL : RCE, data leak massive, auth bypass — patch < 24h
  • HIGH : escalade privileges, data leak partiel — patch < 7j
  • MEDIUM : DoS, info disclosure non-sensible — patch < 30j
  • LOW : best-practice deviation, low-impact — next release

Bonnes pratiques

Avant de signaler, verifie :

  • Ton .env n'est pas commit
  • Ton API token n'est pas expose en clair quelque part
  • Tu as la derniere version de Docker / Docmost / Baserow

Hall of fame

Liste des reporters (avec leur permission) :

  • (vide pour l'instant)

License

Cette politique est applicable au repo AcadeNice/wiki. Voir LICENSE pour les conditions de redistribution.