Seguridad
Esta página documenta la política de seguridad para AIMO Standard, incluyendo reporte de vulnerabilidades y procedimientos de divulgación.
Alcance
En Alcance
- Implementación de referencia del validador (
validator/) - Build y release tooling (
tooling/) - JSON schemas (
schemas/) - Infraestructura del sitio web de documentación
Fuera de Alcance
- Contenido de especificación (el texto normativo no es un artefacto de seguridad)
- Implementaciones de adoptantes usando AIMO Standard
- Dependencias externas (reporte a mantenedores upstream)
Versiones Soportadas
| Versión | Soportada |
|---|---|
| latest (dev) | Sí |
| Releases etiquetados (vX.Y.Z) | Sí (últimas 2 versiones menores) |
| Releases más antiguos | No (se recomienda actualizar) |
Reportar una Vulnerabilidad
No abra un issue público de GitHub para vulnerabilidades de seguridad.
Proceso
- Reporte privadamente vía reporte de vulnerabilidades privado de GitHub
- Incluya: descripción, pasos de reproducción, versiones afectadas, impacto
- Permita tiempo para evaluación y desarrollo de corrección
Cronograma
| Fase | Cronograma |
|---|---|
| Reconocimiento | 72 horas |
| Evaluación inicial | 7 días |
| Divulgación coordinada | 90 días máximo |
Política de Divulgación
- Las vulnerabilidades se reportan privadamente
- Las correcciones se desarrollan antes de la divulgación pública
- Los avisos de seguridad se publican después de que las correcciones estén disponibles
- Los reportadores son acreditados (a menos que se solicite anonimato)
Medidas de Seguridad
- Verificaciones CI/CD en todos los cambios
- Releases firmados con checksums SHA-256
- Revisión de PR obligatoria antes de merge
Política Completa
Consulte SECURITY.md para la política de seguridad completa.
Páginas Relacionadas
- Paquete de Confianza — Materiales listos para auditores
- Gobernanza — Gobernanza del proyecto