Grazie per voler contribuire alla sicurezza di Humans.

Quest'app gestisce dati sensibili (segnalazioni di persone scomparse, posizioni geografiche, foto, identità degli utenti). Una vulnerabilità qui può avere conseguenze reali — prendere sul serio le segnalazioni di sicurezza è una priorità assoluta.

Non aprire una issue pubblica per vulnerabilità di sicurezza.

Invia un'email a: gianbattistabifulco@gmail.com

Includi:

• Una descrizione del problema (cosa hai trovato, come)
• Passi minimi per riprodurre (proof-of-concept apprezzato)
• Versione/commit affetto
• Impatto stimato (chi è esposto, a cosa)
• Idee per il fix se ne hai

Riceverai una risposta entro 72 ore lavorative.

• Bug funzionali non correlati a security → apri pure una issue pubblica
• Vulnerabilità in dipendenze di terze parti (Firebase, ecc.) → segnalale upstream
• Attacchi che richiedono accesso fisico a un device sbloccato dell'utente
• Self-XSS o issue che richiedono di ingannare l'utente a eseguire codice manualmente
• Mancata adozione di best practice senza un exploit dimostrato

Questo è un progetto personale senza budget per bug bounty monetario. Tuttavia:

• Acknowledgement pubblico (se desiderato) nei release notes e in una futura SECURITY-HALL-OF-FAME.md
• Risposta veloce e collaborativa al disclosure
• Fix prioritario e coordinato per non esporre gli utenti

Una volta confermata e fixata la vulnerabilità, viene rilasciata una nuova versione su TestFlight e App Store. Tipicamente:

1. Triage e conferma (≤ 72h)
2. Fix in branch privato
3. Release App Store (passa per review Apple, 24-72h ulteriori)
4. Disclosure pubblica (issue + CHANGELOG) dopo che la release è live da almeno 14 giorni (per dare tempo agli utenti di aggiornare)

Le vulnerabilità critiche che mettono a rischio immediato gli utenti possono accelerare questa timeline.

Grazie a chi prende il tempo di segnalare in modo responsabile — contribuisci a tenere al sicuro famiglie e persone in situazione di vulnerabilità.