# Politique de sécurité

Merci d’aider à garder Serein sécurisé.

Parce que Serein traitera potentiellement des contenus liés au bien-être et que la confiance utilisateur est centrale, les vulnérabilités doivent être signalées de manière responsable et privée quand possible.

## Comment signaler une vulnérabilité

**Ne pas** ouvrir une issue GitHub publique pour des vulnérabilités sensibles.

Options préférées :
1. Signalement de vulnérabilités privées GitHub si activé.
2. Sinon, contactez **serein@cesarbroche.fr** en privé.

## Contenu du signalement

Incluez :
- nom projet/dépôt ;
- résumé du problème ;
- page/composant affecté ;
- étapes de reproduction ;
- impact potentiel ;
- preuve de concept/captures/logs si safe ;
- si déjà public.

## Ce à quoi s’attendre

Le mainteneur visera à :
- accuser réception ;
- évaluer gravité/reproductibilité ;
- garder privé pendant investigation ;
- partager calendrier de correction ;
- créditer si souhaité.

Délais variables (projet précoce), divulgation responsable appréciée.

## Lignes directrices divulgation responsable

Veuillez :
- laisser un délai raisonnable avant divulgation publique ;
- éviter d’accéder/modifier/supprimer données non vôtre ;
- éviter dégradation de service pour autrui ;
- éviter ingénierie sociale, spam, attaques physiques.

## Périmètre

Vulnérabilités typiques in-scope :
- XSS ;
- stockage sensible non sécurisé ;
- contournement autorisation (si comptes ajoutés) ;
- secrets exposés ;
- empoisonnement service worker/cache ;
- dépendances tierces non sécurisées.

Out of scope sauf exploit réaliste :
- problèmes théoriques ;
- bonnes pratiques sans vulnérabilité concrète ;
- services tiers hors contrôle projet.

## Posture sécurité

Serein réduit les risques par conception :
- collecte minimale ;
- dépendances tierces limitées ;
- architecture simple et reviewable ;
- privacy-first par défaut.