SÉCURITÉ : à qui et comment rapporter d'éventuelles failles ?

sécurité

#1

Bonjour.

Une question dans l’absolu : en cas de découverte d’une faille de sécurité en rapport avec la Ğ1 (que ce soit au niveau humain, ou protocolaire, ou logiciel, ou autre), à qui et comment la rapporter ?
Doit-on le faire publiquement, ici par ex. ?
Quid des failles exploitables après lecture de leur description ?

(Je n’ai pas trouvé la réponse, mais peut-être ai-je mal cherché.)

Ph.


#2

Bonjour @Philibre

pour rapporter un bug logiciel, tu peux créer une issue sur le logiciel incriminé sur le GitLab

Pour être plus “discret” tu peux toujours envoyer un message privé aux devs sur se forum :


#3

Bonjour @vincentux, et merci pour ta prompte réponse.

Je ne sais pas si la fin de ton msg fut tronquée, mais existe-t-il qq part une liste des programmeurs de l’écosystème Duniter ?
Ou bien un moyen de les joindre collectivement ?


#4

Bon point !

Je dirais qu’il faudrait mettre en place une procédure pour repporter une faille de sécurité.

Ce qu’on fait chez YunoHost, c’est qu’on donne une clé publique GPG et une adresse mail.

En attendant que ce soit fait, le mieux serait de contacter directement par message privé du forum les développeurs concerné par ledis logiciel :


#5

oups, oui je voulais y lister les devs… :blush:
merci @Moul :wink:


#6

Je dirais qu’il faudrait mettre en place une procédure pour repporter une faille de sécurité.
Ce qu’on fait chez YunoHost, c’est qu’on donne une clé publique GPG et une adresse e-mail.

Voilà une solution simple et efficace.

En attendant que ce soit fait, le mieux serait de contacter directement par message privé du forum les développeurs concerné par ledit logiciel :

Très bien, merci @Moul pour cette liste.