Politica di sicurezza
Prendiamo sul serio la sicurezza di questo sito e dei suoi utenti. Questa pagina descrive come segnalare una vulnerabilità e a cosa ci impegniamo in risposta.
Segnalazione di una vulnerabilità
Se scoprite una vulnerabilità di sicurezza in questo sito o nella sua infrastruttura di supporto, segnalatela in modo responsabile. Non aprite un issue pubblico su GitHub per le vulnerabilità di sicurezza.
Metodo preferito: Inviate un'e-mail a security@eucybersecurity.org con una descrizione della vulnerabilità, i passaggi per riprodurla e l'impatto potenziale. Confermeremo la ricezione entro 48 ore.
Potete anche consultare il nostro security.txt per informazioni
di contatto per la divulgazione leggibili da macchina.
Divulgazione coordinata
Seguiamo una politica di divulgazione coordinata. Vi chiediamo di concederci un tempo ragionevole per investigare e risolvere prima di qualsiasi divulgazione pubblica — in genere 90 giorni, a meno che la vulnerabilità non venga sfruttata attivamente.
Non intraprenderemo azioni legali contro ricercatori in buona fede che segnalano vulnerabilità secondo questa politica.
Ambito
Nell'ambito della divulgazione responsabile:
- Il sito web eucybersecurity.org e i suoi sottodomini
- Gli endpoint dell'API pubblica
- Autenticazione e gestione delle sessioni
- Vulnerabilità di injection (SQLi, XSS, SSRF, ecc.)
Fuori dall'ambito:
- Attacchi denial-of-service
- Ingegneria sociale del personale
- Attacchi fisici
Header di sicurezza
Questo sito serve header di sicurezza rigorosi su tutte le risposte, inclusi Content-Security-Policy (basato su nonce), HSTS con preload, X-Frame-Options: DENY e Permissions-Policy.