Politica di divulgazione delle vulnerabilità
Ultimo aggiornamento: 07.03.2026
Introduzione
[ MECANIK DEV ] prende sul serio la sicurezza dei propri sistemi e servizi. Apprezziamo il lavoro dei ricercatori di sicurezza che ci aiutano a migliorare la nostra postura di sicurezza.
Questa politica descrive come segnalarci le vulnerabilità e cosa puoi aspettarti in cambio.
Ambito di applicazione
Questa politica si applica ai seguenti domini e servizi:
- mecanik.dev
- members.mecanik.dev
- api.mecanik.dev
Segnalazione di una vulnerabilità
Se ritieni di aver trovato una vulnerabilità di sicurezza in uno dei nostri sistemi, ti preghiamo di segnalarcela inviando un’e-mail a:
Includi nel tuo rapporto:
- Una descrizione della vulnerabilità
- I passaggi per riprodurre il problema
- Il potenziale impatto della vulnerabilità
- Eventuale codice proof-of-concept, se disponibile
Cosa aspettarsi
- Conferma: Confermeremo la ricezione del tuo rapporto entro 3 giorni lavorativi.
- Valutazione: Esamineremo e convalideremo la vulnerabilità segnalata.
- Aggiornamenti: Ti terremo informato sui nostri progressi.
- Risoluzione: Miriamo a risolvere le vulnerabilità critiche il più rapidamente possibile.
- Riconoscimento: Con il tuo permesso, riconosceremo il tuo contributo sulla nostra pagina Riconoscimenti di sicurezza .
Linee guida
Chiediamo ai ricercatori di sicurezza di:
- Fare ogni sforzo per evitare violazioni della privacy, distruzione dei dati e interruzioni del servizio.
- Interagire solo con account di propria titolarità o con l’esplicita autorizzazione del titolare dell’account.
- Non sfruttare una vulnerabilità oltre quanto necessario per dimostrarla.
- Segnalare le vulnerabilità tempestivamente e concederci un tempo ragionevole per risolverle prima della divulgazione pubblica.
- Non praticare social engineering, phishing o attacchi fisici contro il nostro personale o la nostra infrastruttura.
Porto sicuro
Consideriamo la ricerca di sicurezza condotta in conformità con questa politica come:
- Autorizzata ai sensi delle leggi anti-hacking applicabili.
- Esente dalle restrizioni DMCA sulla circumvenzione dei controlli tecnologici.
Non intraprenderemo azioni legali contro i ricercatori che rispettano questa politica.
Esclusioni
I seguenti elementi non rientrano nell’ambito di applicazione:
- Attacchi denial-of-service
- Attacchi di social engineering
- Attacchi fisici
- Campagne di spam o phishing
- Vulnerabilità in software o servizi di terze parti non sotto il nostro controllo