Sådan rapporterer du
Send en email til kontakt@rentemester.dk med emnefelt der starter med [SECURITY]. Inkludér:
- En beskrivelse af problemet og potentielt impact.
- Steps to reproduce hvis muligt.
- Den version / commit du har fundet det på.
Hvad du kan forvente
- Bekræftelse på modtagelse inden for 72 timer.
- En vurdering af problemet og en plan for fix.
- Kredit for fundet, hvis du ønsker det — i changelog eller release notes.
- En koordineret offentliggørelse når fixet er ude.
Scope
Politikken dækker selve Rentemester-koden i github.com/mikkelkrogsholm/rentemester. Den dækker ikke tredjepartsafhængigheder direkte — de skal rapporteres til de relevante projekter — men hvis en sårbarhed i en afhængighed eksponeres på en særlig måde af Rentemester, er det relevant.
security.txt
Den maskinlæsbare version af denne politik ligger på /.well-known/security.txt.
Ansvarlig afprøvning
Hold testen til egen installation, egne data og de offentlige interfaces i projektet. Forsøg ikke at tilgå andres regnskabsdata, tokens, backups eller private repositories. Hvis du er i tvivl om scope, så spørg først via security-mailen.
Gode rapporter er reproducerbare og nøgterne: kort resumé, impact, trin-for-trin reproduktion, forventet adfærd, faktisk adfærd og eventuel patch-idé. Undgå screenshots med persondata eller rigtige bilag, medmindre de er anonymiserede.
Rapportér hellere én skarp sårbarhed end en lang liste af usikre observationer. Hvis problemet kræver koordineret publicering, aftales tidslinjen pr. mail, så brugere kan opdatere før detaljer bliver offentlige.