Signaler une faille de sécurité dans Tuleap

Toutes les vulnérabilités liées à la sécurité de Tuleap doivent être signalées par e-mail à l’adresse suivante : security@tuleap.org.

Un membre de notre équipe sécurité examinera votre signalement dans un délai de 3 jours ouvrés, puis vous répondra pour vous indiquer les prochaines étapes.

Les vulnérabilités identifiées dans des applications tierces doivent être transmises directement à leurs mainteneurs respectifs. L’équipe sécurité de Tuleap n’est pas responsable de la sécurité de ces logiciels, mais pourra les contacter si un problème nous est signalé.

Si vous le jugez nécessaire, vous pouvez chiffrer votre message à l’aide de la clé GPG ci-dessous.

Toute contribution visant à améliorer la sécurité de Tuleap ou de ses utilisateurs est grandement appréciée par la communauté Tuleap. Si vous le souhaitez, votre signalement pourra faire l’objet d’une mention publique dans notre rapport. Merci de ne pas solliciter de compensation financière : le projet Tuleap ne propose pas de programme de récompense à ce jour.

Les problèmes n’affectant pas directement la sécurité du logiciel Tuleap, mais celle des services associés (par exemple le site tuleap.org), peuvent être signalés selon les mêmes modalités. En revanche, ils ne feront pas l’objet d’une mention publique. Merci de ne pas signaler les problèmes liés à SPF, DKIM ou DMARC concernant les services de la communauté Tuleap.

 

 

Principes de divulgation responsable

La communauté Tuleap remercie les chercheurs en sécurité qui respectent les consignes suivantes lors de leurs investigations :

• Ne testez pas de vulnérabilités sur des instances qui ne vous appartiennent pas. Tuleap étant un logiciel open source, vous pouvez l’installer vous-même ou utiliser notre image Docker pour créer un environnement de test.

• Vérifiez que la vulnérabilité est présente dans la version stable ou de développement la plus récente.

• Accordez à notre équipe sécurité un délai raisonnable pour corriger la faille avant toute divulgation publique.

 

 

Engagements de l’équipe sécurité

• Le traitement des signalements peut prendre du temps, mais nous mettons tout en œuvre pour apporter une réponse dans les meilleurs délais.

• Un avis de sécurité public est publié une semaine après la sortie d’une version majeure de Tuleap incluant le correctif, dans notre outil de suivi des anomalies.

• Les chercheurs en sécurité seront remerciés publiquement s’ils le souhaitent.

• Aucun recours juridique ni mesure punitive ne sera engagé à l’encontre de ceux qui signalent des vulnérabilités de manière responsable.

 

Les avis relatifs aux vulnérabilités signalées sont publiés publiquement dans le tracker de rapports de bugs de Tuleap.
Vous pouvez trouver plus d’informations sur la manière dont nous traitons les vulnérabilités dans notre guide de gestion des vulnérabilités.