Security Policy
Çardak güvenlik araştırmacılarından ve kullanıcılardan gelen sorumlu bildirimleri memnuniyetle kabul eder. Bu sayfa, güvenlik açığı raporlarının nasıl iletileceğini ve nasıl işleneceğini açıklar.
Nasıl Bildirilir?
Güvenlik açığı bildirimlerinizi [email protected] adresine gönderin. Konu satırında Security Report kullanmanız, bildirimin doğru öncelikle ele alınmasını sağlar.
- Etkilenen URL veya özellik
- Tekrarlanabilir adımlar
- Beklenen ve gerçekleşen davranış
- Mümkünse ekran görüntüsü, PoC veya log özeti
Kapsam
- www.cardak.app alan adı altındaki halka açık web sayfaları
- Statik içerik, yönlendirme, başlıklar ve istemci tarafı güvenlik kontrolleri
- Kullanıcı verisini etkileyebilecek doğrulama, yetkilendirme ve veri sızıntısı riskleri
Aşağıdaki konular kapsam dışıdır: otomatik spam raporları, yalnızca teorik zafiyetler, fiziksel erişim gerektiren senaryolar ve üçüncü taraf servislerde Çardak kontrolü dışında kalan problemler.
Güvenli Liman İlkeleri
İyi niyetli, veri bütünlüğünü bozmayan ve kullanıcı gizliliğini ihlal etmeyen araştırmalar güvenli liman kapsamında değerlendirilir. Lütfen:
- Gerçek kullanıcı verisini indirmeyin, silmeyin veya paylaşmayın
- Servis kesintisine yol açacak yük testleri uygulamayın
- Sistemde kalıcı değişiklik yapmayın
- Bildirimi kamuya açıklamadan önce makul düzeyde düzeltme süresi tanıyın
Yanıt Süreci
Ulaşan raporları mümkün olan en kısa sürede gözden geçiririz. İlk alındı yanıtı hedefimiz 3 iş günüdür. Doğrulanan kritik güvenlik sorunlarında öncelikli düzeltme ve gerekli durumlarda durum güncellemesi paylaşılır.