Seule la dernière version stable de Puna reçoit des correctifs de sécurité.
| Version | Supportée |
|---|---|
| latest | ✅ |
| < latest | ❌ |
⚠️ Ne pas créer d'issue publique GitHub pour signaler une faille de sécurité.
Toute divulgation publique avant la publication d'un correctif met en danger les utilisateurs de Puna.
- Aller sur l'onglet Security du dépôt GitHub
- Cliquer sur "Report a vulnerability"
- Remplir le formulaire avec les informations suivantes :
- Description claire de la vulnérabilité
- Étapes pour reproduire
- Impact potentiel estimé
- Version de Puna concernée
- Preuve de concept, si disponible
Le signalement est entièrement privé : seuls les mainteneurs y ont accès jusqu'à la publication du correctif.
Contact direct via les informations de profil GitHub du mainteneur.
| Étape | Délai |
|---|---|
| Confirmation de réception | 48h |
| Évaluation initiale et priorité | 7 jours |
| Correction et publication du patch | 30 jours |
Ces délais sont donnés à titre indicatif. Les vulnérabilités critiques sont traitées en priorité.
- Failles d'authentification ou de gestion de session
- Injections (SQL, XSS, path traversal, etc.)
- Contournement du système de permissions (RBAC)
- Vulnérabilités liées à l'upload de fichiers
- Exposition de données sensibles ou de secrets
- Bypass de la protection CSRF
- Attaques nécessitant un accès physique au serveur
- Attaques par déni de service (DoS) volumétriques
- Problèmes liés à une configuration incorrecte de l'environnement hôte
- Vulnérabilités dans les dépendances tierces (à signaler directement à leurs mainteneurs)
Les chercheurs qui signalent une vulnérabilité de manière responsable sont crédités dans :
- Ce fichier
SECURITY.md(section Hall of Fame) - Les notes de version du correctif publié
Aucun signalement pour le moment.