1. Kontakt
Zgloszenia wysylaj na kontakt@codespade.tech z tematem SECURITY - CodeSpade vulnerability report.
2. Zakres
Zakres obejmuje publiczne zasoby CodeSpade, w szczegolnosci codespade.tech, formularze, panel klienta, panel admina i publiczne endpointy API. Testy dotyczace kont, danych lub systemow osob trzecich sa poza zakresem.
3. Zasady bezpiecznego testowania
- Nie uzyskuj, nie kopiuj i nie ujawniaj cudzych danych.
- Nie wykonuj atakow DoS/DDoS, spamowania formularzy ani testow obciazeniowych bez zgody.
- Nie uzywaj socjotechniki, phishingu ani prob dostepu do prywatnych kont.
- Nie niszcz, nie modyfikuj i nie usuwaj danych.
- Jesli przypadkowo zobaczysz dane, przerwij test i opisz sytuacje w raporcie.
4. Co powinien zawierac raport
- adres URL lub endpoint, ktorego dotyczy problem;
- kroki odtworzenia i oczekiwany rezultat;
- rzeczywisty rezultat oraz ocene potencjalnego wplywu;
- bezpieczny dowod, np. zanonimizowany screenshot, naglowki lub minimalny payload;
- Twoj kontakt, jesli chcesz otrzymac informacje zwrotna.
5. Czas reakcji
Staramy sie potwierdzic odbior w ciagu 5 dni roboczych, a potem przekazac informacje o triage i planie naprawy. Czas naprawy zalezy od ryzyka, zlozonosci i dostawcow zewnetrznych.
6. Nagrody i publikacja
CodeSpade nie prowadzi obecnie programu bug bounty i nie gwarantuje nagrod finansowych. Publiczna publikacja podatnosci powinna nastapic dopiero po potwierdzeniu naprawy albo po uzgodnieniu terminu z CodeSpade.