| Versão | Suportada |
|---|---|
| 1.x.x | Sim |
NÃO abra Issues públicas para vulnerabilidades de segurança.
Envie um email para: security@aculpaedasovelhas.org
- Descrição detalhada da vulnerabilidade
- Passos para reprodução
- Impacto potencial
- Sugestão de correção (opcional)
- Seu nome/handle para créditos (opcional)
| Etapa | Prazo |
|---|---|
| Confirmação de recebimento | 48 horas |
| Avaliação inicial | 7 dias |
| Correção (crítico) | 72 horas |
| Correção (alto) | 14 dias |
| Correção (médio/baixo) | 30 dias |
Esta API é pública e somente leitura. Não há autenticação de usuários.
- Injeção SQL no banco D1
- SSRF ou acesso a recursos internos
- DoS que afete disponibilidade
- Exposição de dados sensíveis
- XSS em respostas da API
- Vulnerabilidades em dependências sem exploit comprovado
- Ataques que requerem acesso físico
- Engenharia social contra mantenedores
- Spam ou abuso de rate limit (não é vulnerabilidade)
Pedimos que:
- Não explore a vulnerabilidade além do necessário para demonstrá-la
- Não divulgue publicamente antes da correção
- Não acesse dados de outros usuários
- Nos dê tempo razoável para corrigir antes de divulgar
Contribuidores que reportarem vulnerabilidades válidas serão:
- Reconhecidos publicamente (com consentimento) após a correção
- Listados em nossa página de agradecimentos
- Elegíveis para menção em release notes
Ainda não temos reportes de segurança. Seja o primeiro!
A API implementa os seguintes headers:
Access-Control-Allow-Origin: *
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
- Limite: 100 requisições/minuto por IP
- Resposta: 429 Too Many Requests
Esta API não processa dados sensíveis de usuários:
- Não há autenticação
- Não há dados pessoais
- Não há logs de acesso individual
- Conteúdo é 100% público (texto bíblico)
- Segurança: security@aculpaedasovelhas.org
- Geral: contato@aculpaedasovelhas.org
- GitHub: Issues
A Culpa é das Ovelhas - Ecossistema de Estudo Bíblico