search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
blame | history | raw | HEAD
This is Tuleap 16.0.99.61
[tuleap.git] / SECURITY.md
blob790f3ce6911ada7d75a5e3903ef0dcd646054626
1 # Security
2
3 ## Reporting a security issue in Tuleap
4
5 All security bugs in Tuleap should be reported by emailing security@tuleap.org.
6
7 A member of our security team will your vulnerability report within 3 business days, and you will receive a response
8 indicating the next steps in handling your report.
9
10 Vulnerabilities in third-party applications should be reported to their respective maintainers. The Tuleap security team
11 is not responsible for the security of these applications but will attempt to contact the third-party maintainer if an
12 issue is brought to his attention.
13
14 The provided email address to send vulnerability reports supports hop-by-hop encryption. If you feel the report
15 needs end-to-end encryption please reach out to us, we will try to find a solution accommodating everyone involved.
16
17 Any efforts made for improving the security of the Tuleap software or its users will be greatly appreciated by the
18 Tuleap community. If you want your disclosure will be publicly acknowledged in the public report. Please refrain from
19 requesting compensation for reporting vulnerabilities. At this time the Tuleap project does not deliver bounties.
20
21 Issues not affecting the security of the Tuleap software but of one of the services managed for the Tuleap community
22 (such as issues affecting the tuleap.org website) can be reported under the same guidelines but do not warrant a public
23 acknowledgment. SPF, DKIM, or DMARC issues in one of the services managed for the Tuleap community must not be reported.
24
25 ## Coordinated Disclosure Guidelines
26
27 The Tuleap community would be grateful if security researchers comply with the following guidelines while researching
28 and reporting vulnerabilities:
29  * Do not test for vulnerabilities on instances you do not own. Tuleap is an open-source software, you can install your
30  own copy or use our [Docker image](https://hub.docker.com/r/tuleap/tuleap-community-edition) to quickly get a playground.
31  * Confirm the vulnerability exists in the most recent stable or development version.
32  * Allow the security team enough time to correct the reported vulnerability before publicly identifying or disclosing
33 it.
34
35 Our security team follows the following guidelines:
36  * Vulnerability reports can take some time to be resolved but every effort will be made to handle a bug in as timely a
37 manner as possible.
38  * Advisories for the reported vulnerabilities are made public in the
39    [Tuleap bug report tracker](https://tuleap.net/plugins/tracker/?tracker=140). You can find more information on how we
40    handle vulnerabilities in [our vulnerability response guide](./doc/vulnerability-management/vulnerability-response.md).
41  * Security researchers and their findings are respected and will be publicly acknowledged if they wish.
42  * No legal threats nor punitive actions against security researchers for reporting vulnerabilities will be made.
Tuleap is a Free & Open Source Suite to improve management of software developments and collaboration. With a single web-based solution, project managers, developers & quality managers can easily build, deploy software projects.