Tomamos la seguridad de modjo muy en serio. Si descubrís una vulnerabilidad, te agradecemos que la reportés de forma responsable para que podamos corregirla antes de que sea divulgada públicamente.
No abras un issue público para reportar vulnerabilidades de seguridad.
En su lugar, escribinos un correo a:
Incluí en tu reporte:
- Una descripción clara del problema y el impacto potencial.
- Pasos para reproducir la vulnerabilidad.
- Versión de modjo afectada.
- Cualquier sugerencia para la solución (opcional).
Nos comprometemos a:
- Acusar recibo de tu reporte dentro de los 3 días hábiles.
- Mantenerte informado del progreso hacia la solución.
- Notificarte cuando la vulnerabilidad haya sido corregida.
Este documento aplica al núcleo de modjo (la aplicación TUI) y sus dependencias directas. Vulnerabilidades en dependencias de terceros deben reportarse primero a los proyectos correspondientes.
| Versión | Soporte |
|---|---|
| 0.0.1 (actual) | Reportes de seguridad aceptados |
- Variables de entorno: No guardés tokens o secretos en
.modjo/env.tomlsi el directorio está versionado con git. Agregá.modjo/a tu.gitignoresi manejás datos sensibles. - Snapshots de exportación: El archivo
modjo-export.jsonpuede contener headers y cuerpos de peticiones. Revisá su contenido antes de compartirlo. - HTTPS: modjo no impone HTTPS, pero siempre preferí usar URLs con
https://en producción. - Cuerpo de peticiones: No compartas capturas de pantalla de la terminal que muestren tokens, contraseñas o datos sensibles en los paneles de headers o cuerpo.
Una vez corregida la vulnerabilidad, se publicará un aviso en la sección de Releases incluyendo:
- Descripción del problema.
- Versiones afectadas.
- Solución aplicada.
- Crédito al reportante (si así lo desea).