Corentin JOGUET
668576cdc4
Conception complete (Phase 0) pour formation-hub Acadenice : - 19 docs Merise Agile + UML + GitOps + plans (tests/deploy/ops/api) cf docs/00-readme.md pour l'index complet - Stack Docker compose (Docmost + Baserow + Postgres + Redis + MinIO local FS) compose.yml + compose.staging.yml + compose.prod.yml - CI/CD GitHub Actions skeleton (ci, deploy-staging, deploy-prod) - Bridge service skeleton (Hono + TS + Biome + Vitest + zod + pino) - Templates GitHub : PR + 3 issue types + CODEOWNERS + dependabot.yml - Scripts ops : healthcheck, backup quotidien, smoke-test post-deploy - LICENSE AGPL-3.0 + SECURITY.md + CONTRIBUTING.md + CHANGELOG.md - Diagramme drawIO archi infra (XML importable dans diagrams.net) Decisions structurelles enregistrees : - Scope CFA + Agence avec entite PERSONNE pivot multi-roles (ADR-001) - Stack composite Docmost AGPL + Baserow MIT + bridge custom (ADR-001) - Path B : UX quasi-unified via Tiptap node-views custom (ADR-002) - Monorepo trunk-based development (ADR-003) - Postgres separe Docmost/Baserow (ADR-004) - Bridge stack Node 22 + Hono (ADR-005) - Repo neuf prefere a fork Docmost - Prod-like des le jour 1 (pas MVP)
57 lines
1.9 KiB
Markdown
57 lines
1.9 KiB
Markdown
# Security Policy
|
|
|
|
## Reporting a vulnerability
|
|
|
|
Acadenice prend la securite tres au serieux. Si tu decouvres une vulnerabilite dans `formation-hub`, **ne pas l'ouvrir en issue publique**.
|
|
|
|
Contacte directement : **security@acadenice.fr**
|
|
|
|
Inclure :
|
|
- Description de la vulnerabilite
|
|
- Etapes pour reproduire
|
|
- Impact estime
|
|
- Version / commit SHA concerne
|
|
- Ta contact info pour la reponse coordonnee
|
|
|
|
## Reponse
|
|
|
|
| Etape | Delai cible |
|
|
|-------|-------------|
|
|
| Accuse de reception | < 48h ouvrees |
|
|
| Triage initial | < 5j ouvres |
|
|
| Patch developpe | depend severite (CVSS) |
|
|
| Disclosure publique | apres patch deploye en prod, embargo coordonne |
|
|
|
|
CVE assignee si vulnerabilite serieuse, et publication sur GitHub Security Advisories.
|
|
|
|
## Scope
|
|
|
|
| In scope | Out of scope |
|
|
|----------|--------------|
|
|
| Code custom du bridge service (`bridge/`) | Vulnerabilites Docmost upstream (reporter chez eux) |
|
|
| Configurations infra/CI (`compose*.yml`, `.github/`) | Vulnerabilites Baserow upstream (reporter chez eux) |
|
|
| Scripts ops (`scripts/`) | Vulnerabilites Postgres/Redis/Traefik (reporter chez les vendors) |
|
|
| Schemas et formules Baserow customs (`baserow/`) | Vulnerabilites browsers / OS |
|
|
|
|
## Classification severites (CVSS-like)
|
|
|
|
- **CRITICAL** : RCE, data leak massive, auth bypass — patch < 24h
|
|
- **HIGH** : escalade privileges, data leak partiel — patch < 7j
|
|
- **MEDIUM** : DoS, info disclosure non-sensible — patch < 30j
|
|
- **LOW** : best-practice deviation, low-impact — next release
|
|
|
|
## Bonnes pratiques
|
|
|
|
Avant de signaler, verifie :
|
|
- Ton .env n'est pas commit
|
|
- Ton API token n'est pas expose en clair quelque part
|
|
- Tu as la derniere version de Docker / Docmost / Baserow
|
|
|
|
## Hall of fame
|
|
|
|
Liste des reporters (avec leur permission) :
|
|
- (vide pour l'instant)
|
|
|
|
## License
|
|
|
|
Cette politique est applicable au repo `AcadeNice/wiki`. Voir `LICENSE` pour les conditions de redistribution.
|