Le projet n'a pas encore de versioning long terme. La branche principale et le dernier état publié doivent être considérés comme la seule version supportée pour les correctifs de sécurité.
| Version | Support |
|---|---|
| main / dernière révision publiée | Oui |
| snapshots et forks non maintenus | Non |
Ne publiez pas une faille de sécurité dans une issue publique.
Utilisez l'un de ces canaux, selon ce qui est disponible sur le dépôt public :
- GitHub Security Advisories (onglet Security du dépôt) pour signaler les vulnérabilités de manière confidentielle.
- Réponse sous 7 jours ouvrés.
Le rapport devrait inclure :
- une description claire du problème ;
- l'impact attendu ;
- les chemins ou endpoints concernés ;
- des étapes de reproduction ;
- une proposition de mitigation si vous en avez une.
- Accusé de réception initial : sous 3 jours ouvrés.
- Première évaluation : sous 7 jours ouvrés.
- Mises à jour de suivi : au moins une fois par semaine jusqu'au correctif.
Les surfaces les plus sensibles de ce projet sont :
- l'authentification better-auth et les cookies de session ;
- les uploads et exports de documents ;
- les imports de projet et de planning ;
- la configuration CORS, CSP et les variables d'environnement de production.