Vulnérabilité

Vulnérabilité

Politique de Divulgation des Vulnérabilités

Dernière mise à jour : 17 septembre 2025

Saporo s'engage à assurer la sécurité de nos utilisateurs et à protéger leurs informations. Cette politique fournit aux chercheurs en sécurité des directives claires pour mener des activités de découverte de vulnérabilités et décrit notre processus de soumission et de gestion des rapports de vulnérabilités.

⚠️ Note : Bien que nous accueillions les divulgations responsables, notre principal intérêt concerne les vulnérabilités affectant les Applications Saporo. Les vulnérabilités limitées aux sites web marketing ou contenus non critiques (par exemple, les pages saporo.io) sont généralement hors portée, et nous décourageons les soumissions en grandes quantités de faible impact liées au web.


Autorisation

Si vous faites un effort de bonne foi pour respecter cette politique lors de vos recherches :

  • Nous considérerons votre recherche comme autorisée.

  • Nous collaborerons avec vous pour comprendre et résoudre rapidement le problème.

  • Saporo ne recommandera ni n'engagera d'action en justice liée à votre recherche.

  • Si un tiers initie une action en justice contre vous pour des activités menées sous cette politique, nous ferons connaître cette autorisation.


Directives

Lorsque vous menez des recherches de sécurité sous cette politique, vous devez :

  • Nous avertir dès que possible après avoir découvert un problème réel ou potentiel.

  • Faire tout votre possible pour éviter :

    • Les violations de la vie privée

    • La dégradation de l'expérience utilisateur

    • Les perturbations des systèmes de production

    • La destruction ou la manipulation de données

  • Utiliser les exploits uniquement pour confirmer la présence de la vulnérabilité, non pour :

    • Exfiltrer ou manipuler les données

    • Établir un accès persistant

    • Passer à d'autres systèmes

  • Nous accorder un délai raisonnable pour remédier avant toute divulgation publique.

  • Éviter de soumettre un grand volume de rapports de faible qualité ou non pertinents.

  • Arrêter immédiatement les tests si vous rencontrez des données sensibles (PII, financières ou propriétaires) et nous en informer tout de suite.


Méthodes de Test

Les actions suivantes ne sont pas autorisées :

  • Attaque de déni de service réseau (DoS/DDoS) ou tout test affectant la disponibilité du système.

  • Tests de sécurité physique (par exemple, accès aux bureaux, tailgating).

  • Ingénierie sociale (par exemple, hameçonnage, vishing).

  • Tests de vulnérabilités non techniques.


Périmètre

Dans le Périmètre

  • Applications Saporo (plateforme centrale et produits de sécurité).

  • Sites Web Saporo (intérêt limité, voir note ci-dessus).


Hors Périmètre

  • Systèmes de fournisseurs et services tiers (rapporter directement au fournisseur).

  • Tout système non explicitement listé comme couvert.

Si vous n'êtes pas sûr qu'un système soit couvert, contactez security@saporo.io avant de commencer votre recherche.


Rapport d'une Vulnérabilité

Nous acceptons les rapports par :

  • Le formulaire en bas de cette page

  • Email : security@saporo.io

Les rapports peuvent être soumis anonymement. Si vous incluez des coordonnées, nous accuserons réception sous 3 jours ouvrables.

⚠️ Nous ne prenons pas en charge les emails chiffrés PGP. Pour des détails sensibles, veuillez utiliser notre formulaire HTTPS.


Ce que Nous Souhaitons Voir dans les Rapports

Pour nous aider à trier et à prioriser les soumissions, veuillez inclure :

  • L'emplacement de la vulnérabilité et son impact potentiel.

  • Les étapes pour reproduire (le code de preuve de concept ou des captures d'écran sont utiles).

  • Une description claire et concise (en anglais, si possible).


Ce que Vous Pouvez Attendre de Nous

Si vous partagez des informations de contact, Saporo s'engage à :

  • Accuser réception sous 3 jours ouvrables.

  • Confirmer l'existence de la vulnérabilité, si possible.

  • Être transparent sur les étapes de remédiation et les éventuels délais.

  • Maintenir un dialogue ouvert pendant la résolution.

  • Publier les vulnérabilités validées et, si vous le souhaitez, vous créditer dans notre Hall of Fame.


Questions

Pour des questions ou suggestions concernant cette politique, contactez-nous à security@saporo.io.