الأمن
سياسة الإفصاح عن الثغرات الأمنية
تصف هذه الوثيقة كيفية الإبلاغ عن ثغرة أمنية، واتفاقية مستوى الخدمة (SLA) للاستجابة، والضمانات التي نقدمها للباحثين الأمنيين. النسخة القابلة للقراءة الآلية — /.well-known/security.txt.
كيفية الإبلاغ عن ثغرة
راسلونا على security@buyka.io. اللغات المدعومة: الإنجليزية والروسية. سيتم نشر مفتاح PGP على https://buyka.io/pgp-key.txt قبل إطلاق الإنتاج.
يرجى تضمين:
- وصف للمشكلة والتأثير المحتمل.
- خطوات إعادة الإنتاج أو كود إثبات المفهوم (PoC).
- المكوّن المتأثر (apps/web، apps/api، نقطة نهاية محددة).
- اسمك / معرّفك لصفحة الشكر — اختياري.
يرجى عدم فتح Issue عام على GitHub. نحن ننسّق الإفصاح لإتاحة الوقت لإصدار إصلاح قبل أن تصبح التفاصيل علنية.
اتفاقية مستوى الخدمة للاستجابة
| الخطورة | الرد الأول | الفرز | الإصلاح المستهدف |
|---|---|---|---|
| Critical | 24h | 48h | 7 days |
| High | 48h | 5 days | 30 days |
| Medium | 5 days | 14 days | 90 days |
| Low | 14 days | 30 days | 180 days |
يتم الإفصاح العلني المنسق بعد 90 يومًا من تقريرك — قد يكون أبكر إذا نشرنا الإصلاح، ولن يكون متأخرًا إلا بموافقتك.
ضمن النطاق
- buyka.io وجميع النطاقات الفرعية
- apps/web (Next.js) وapps/api (NestJS) في هذا المستودع
- تدفقات المصادقة، تدفقات RFQ/Deal، المدفوعات (Stripe webhook)، KYC، رفع الملفات، نقاط نهاية المسؤول
- واجهة المستخدم المتجاوبة للويب المحمول
- بوابة WebSocket (/chat)
خارج النطاق
- تقارير بدون إثبات مفهوم (PoC) عملي
- الهندسة الاجتماعية / التصيد لموظفي أو مستخدمي Buyka
- الهجمات الفعلية على المكاتب / مراكز البيانات
- DoS / DDoS / القوة الغاشمة / استنزاف حدود المعدل
- Self-XSS (يتطلب من الضحية لصق الحمولة في أدوات المطور)
- نتائج الماسحات الآلية بدون فرز يدوي
- انتحال البريد الإلكتروني بدون تجاوز مصادق (تقارير DKIM/SPF تصنّف كـ Low)
- غياب رؤوس الأمان بدون عواقب قابلة للاستغلال
الملاذ الآمن (ضمانات الباحث)
إذا بذلت جهدًا بحسن نية لاتباع هذه السياسة، فإننا:
- لن نتخذ إجراءً قانونيًا ضد الاختبارات المعقولة.
- لن نتواصل مع جهات إنفاذ القانون.
- سنعمل معك على الإفصاح المنسق.
يقصد بـ «حسن النية»:
- ألا تصل إلى بيانات أكثر مما هو ضروري لإظهار المشكلة.
- ألا تُضعف الخدمة لمستخدمين آخرين.
- ألا تحتفظ أو تشارك أو تبيع البيانات التي تم الوصول إليها عبر الثغرة — وتقوم بإتلافها بعد إظهار الخلل.
- أن تمنحنا نافذة زمنية معقولة لإصلاح المشكلة قبل الإفصاح العلني.
برنامج مكافآت الأخطاء
برنامج مكافآت الأخطاء النقدي غير نشط بعد. نخطط لإطلاق برنامج HackerOne خاص في المرحلة الثانية بعد اختبار قبول المستخدم للإصدار التجريبي (MVP UAT) واختبار الاختراق الخارجي. خارطة الطريق — docs/security/bug-bounty-roadmap.md.
في هذه الأثناء نقدّم:
- الذكر في صفحة /security-acks
- هدايا Buyka التذكارية عندما يتوفر لدينا منتجات للشحن.
- خط مباشر مع قائمتنا البريدية الأمنية عند إطلاق المكافآت.
