Seguridad
Política de divulgación responsable, contacto y alcance para Kisenon.
Esta página es la política de seguridad canónica de Kisenon. Es el destino anunciado por /.well-known/security.txt bajo RFC 9116.
Reportar una vulnerabilidad
Envíe un correo a security@kisenon.com con:
- Una descripción clara del problema.
- Pasos para reproducir — comandos concretos, cargas útiles de solicitud, o una pequeña prueba de concepto. Las impresiones no son accionables.
- El nombre de host afectado (
kisenon.com,api.test.kisenon.com, un host de endpoint, u otro) y la fecha y hora en que se observó el problema. - Su identificador preferido para cualquier crédito público, o
anonymous.
Por favor no presente problemas de seguridad en el rastreador público de GitHub. El rastreador es para errores de producto y solicitudes de funciones; es legible por todo el mundo e inadecuado para vulnerabilidades sin corregir.
Objetivos de respuesta
Kisenon está en alpha y operado por un equipo pequeño. Aspiramos a:
- Acuse de recibo dentro de dos días laborables.
- Triaje y evaluación de severidad dentro de cinco días laborables.
- Corrección o mitigación en un plazo proporcional a la severidad. Los problemas críticos tienen prioridad sobre el trabajo de funciones.
Le mantendremos al día a medida que avancemos por el triaje y la remediación. Una vez que una corrección se haya publicado, coordinaremos la divulgación con usted.
Alcance
Dentro de alcance:
- El ápice
kisenon.comy sus subdominios operados por Kisenon (api.test.kisenon.com,cp.kisenon.com, hosts de endpoint bajo*.kisenon.com). - La API HTTP del plano de control, la CLI
keony la consola web. - Autenticación y gestión de sesiones: inicio de sesión de NextAuth con
Google/GitHub, el intercambio del JWT firmado por cp, el flujo OAuth de
loopback de la CLI, y la emisión y revocación de claves de API (
nsk_…). - Aislamiento: cualquier ruta que cruce un límite de proyecto u organización sin autorización, filtre los metadatos de otra organización, o escape del perímetro de red por endpoint.
Fuera de alcance:
- Denegación de servicio mediante volumen de tráfico bruto contra infraestructura compartida. Los hallazgos de límite de tasa contra límites documentados son bienvenidos; la inundación no es una vulnerabilidad.
- Reportes basados únicamente en la salida de escáneres automatizados sin una prueba de concepto funcional.
- Ingeniería social del personal de Kisenon o de quienes prueban la alpha.
- Problemas en servicios de terceros de los que dependemos (OAuth de GitHub, OAuth de Google, MetalLB, k3s, el propio Postgres) — por favor repórtelos upstream. Las mitigaciones del lado de Kisenon siguen estando dentro de alcance.
Puerto seguro
No emprenderemos acciones legales contra investigadores que:
- Hagan un esfuerzo de buena fe por cumplir esta política.
- Eviten degradar la disponibilidad del servicio para otras organizaciones.
- No exfiltren datos más allá del mínimo necesario para demostrar el problema. Detenga en cuanto se demuestre el acceso; no enumere.
- No divulguen el problema públicamente antes de que se haya publicado una corrección o hayan transcurrido 90 días desde el reporte, lo que ocurra primero.
PGP
Los reportes cifrados con PGP se aceptan pero no son obligatorios. Si necesita una clave pública, solicítela en su correo inicial y le responderemos con la huella de la clave actual fuera de banda.
Relacionado
/.well-known/security.txt— puntero de política legible por máquina de RFC 9116.- Autenticación — inicio de sesión, claves de API, flujo de la CLI.
- Preguntas frecuentes — ¿Dónde reporto problemas de seguridad? — puntero breve de vuelta a esta página.