Esta tabla muestra qué versiones de CreadorCraft-Classic-Backend están actualmente soportadas con actualizaciones de seguridad:
| Versión | Soportada |
|---|---|
| 1.0.x | ✅ Sí |
| < 1.0 | ❌ No |
La seguridad de CreadorCraft-Classic-Backend y sus usuarios es extremadamente importante para nosotros. Si descubres una vulnerabilidad de seguridad, te agradecemos que nos ayudes a mantener el proyecto seguro reportándola de manera responsable.
NUNCA reportes vulnerabilidades de seguridad públicamente a través de:
- Issues públicos de GitHub
- Pull Requests
- Discussions públicas
- Redes sociales
- Foros públicos
Esto podría poner en riesgo a otros usuarios antes de que tengamos tiempo de corregir el problema.
- Ve a la página del repositorio en GitHub
- Haz clic en la pestaña "Security"
- Selecciona "Report a vulnerability"
- Completa el formulario con todos los detalles
Si no puedes usar GitHub Security Advisories, contacta directamente a los mantenedores principales del proyecto a través de:
- Issues privados: Menciona que tienes un problema de seguridad y te proporcionaremos instrucciones para reporte privado
- Contacto directo: A través de los canales oficiales del proyecto
Para ayudarnos a entender y resolver la vulnerabilidad rápidamente, incluye:
- Tipo de vulnerabilidad (ej: XSS, injection, etc.)
- Versión afectada del proyecto
- Componentes afectados (archivos, funciones específicas)
- Severidad percibida (crítica, alta, media, baja)
- Descripción detallada de la vulnerabilidad
- Pasos para reproducir el problema
- Proof of Concept (si es posible, sin causar daño)
- Impacto potencial en usuarios y sistemas
- Posibles vectores de ataque
- Sistema operativo usado
- Navegador/versión (si aplica)
- Node.js versión (si es relevante)
- Configuración específica que pueda ser relevante
Nos comprometemos a responder a reportes de seguridad de acuerdo a este cronograma:
| Severidad | Reconocimiento | Evaluación | Resolución |
|---|---|---|---|
| Crítica | 24 horas | 72 horas | 7 días |
| Alta | 48 horas | 1 semana | 2 semanas |
| Media | 1 semana | 2 semanas | 1 mes |
| Baja | 2 semanas | 1 mes | Próximo release |
- Ejecución remota de código sin autenticación
- Bypass completo de autenticación
- Acceso a datos sensibles de todos los usuarios
- Vulnerabilidades que permiten tomar control del servidor
- Ejecución de código con autenticación
- Escalación de privilegios significativa
- Acceso no autorizado a datos de usuario
- XSS que puede comprometer cuentas de usuario
- Divulgación de información menor
- CSRF en funcionalidades importantes
- Vulnerabilidades que requieren interacción significativa del usuario
- DoS que afecta disponibilidad del servicio
- Divulgación de información técnica menor
- Problemas de configuración de seguridad
- Vulnerabilidades que requieren acceso físico
- Issues de UI/UX con implicaciones menores de seguridad
- WebSockets: Implementación con validación de datos JSON
- API RESTful: Endpoints con validación de entrada
- Autenticación: Sistema de gestión de jugadores seguro
- Autorización: Control de acceso basado en roles
- Input Sanitization: Limpieza de datos de entrada
- JSON Schema Validation: Validación de estructura de datos
- Rate Limiting: Prevención de spam y ataques de fuerza bruta
- CORS Policy: Configuración adecuada de políticas de origen cruzado
- Session Management: Manejo seguro de sesiones de usuario
- Token Expiration: Expiración automática de tokens
- Secure Storage: Almacenamiento seguro de datos del juego
- Data Encryption: Cifrado de datos sensibles cuando sea necesario
- Code Review: Todos los cambios pasan por revisión
- Static Analysis: Análisis estático de código para vulnerabilidades
- Dependency Updates: Actualizaciones regulares de dependencias
- Secure Coding Guidelines: Seguimiento de mejores prácticas
- Automated Testing: Tests automatizados incluyendo security tests
- Vulnerability Scanning: Escaneo automático de vulnerabilidades
- Secure Pipeline: Pipeline de CI/CD con controles de seguridad
- Artifact Signing: Firma de artefactos de build
- Evaluación: Análisis del impacto y urgencia
- Desarrollo: Creación del fix con testing extensivo
- Testing: Validación en ambiente de pruebas
- Release: Publicación del patch de seguridad
- Notificación: Comunicación a la comunidad
- Correcciones de seguridad sin cambios de funcionalidad
- Compatible hacia atrás
- Recomendado actualizar inmediatamente
- Correcciones críticas que no pueden esperar al próximo release
- Deployed lo antes posible
- Comunicación inmediata a usuarios
Te mantendremos informado sobre actualizaciones de seguridad a través de:
- GitHub Security Advisories: Notificaciones automáticas
- Release Notes: Información detallada en releases
- README Updates: Actualizaciones en documentación principal
- Dependabot: Alertas automáticas de dependencias vulnerables
Reconocemos públicamente (con tu permiso) a investigadores de seguridad que reportan vulnerabilidades válidas:
- Nombre/Handle del investigador
- Fecha del reporte (después de la resolución)
- Tipo de vulnerabilidad encontrada
- Impacto y severidad
- Reporte responsable siguiendo este proceso
- Vulnerabilidad válida y reproducible
- Primera persona en reportar la vulnerabilidad
- Cooperación durante el proceso de resolución
- Mantén actualizado: Siempre usa la versión más reciente
- Reporta problemas: Si encuentras algo sospechoso, repórtalo
- Buenas prácticas: Sigue las mejores prácticas de seguridad al usar el proyecto
- npm audit: Para encontrar vulnerabilidades en dependencias
- Snyk: Herramienta de seguridad para proyectos JavaScript
- ESLint Security Plugin: Reglas de ESLint para seguridad
- Dependabot: Para actualizaciones automáticas de seguridad
No hay problema. Preferimos recibir reportes de falsos positivos que perdernos una vulnerabilidad real. Te agradecemos el tiempo invertido.
Sí, te mantendremos informado sobre el estado del reporte y los pasos que estamos tomando.
En algunos casos, sí. Después de confirmar la vulnerabilidad, podemos discutir si quieres contribuir con la solución.
Actualmente no ofrecemos recompensas monetarias, pero reconocemos públicamente las contribuciones valiosas.
Contacto: Para preguntas sobre esta política de seguridad, crea un issue público (no sensible) o contacta a los mantenedores.
Última Actualización: Enero 2024 Próxima Revisión: Julio 2024
La seguridad es responsabilidad de todos. Gracias por ayudarnos a mantener CreadorCraft-Classic-Backend seguro para toda la comunidad.