🔒 Política de Seguridad — CyberSec Events Tracker

Versiones soportadas

Versión	Soporte de seguridad
1.x	✅ Activa
< 1.0	❌ Sin soporte

Reportar una vulnerabilidad

Si descubres una vulnerabilidad de seguridad en este proyecto, te pedimos que la reportes de forma responsable.

Canal de reporte

• Email: security@ttpsec.cl
• Asunto: [VULN] cybersec-events-tracker — <breve descripción>
• PGP Key: Disponible bajo solicitud

⚠️ NO abras un issue público para reportar vulnerabilidades de seguridad.

Qué incluir en el reporte

1. Descripción clara de la vulnerabilidad
2. Pasos para reproducir el problema
3. Impacto potencial (confidencialidad, integridad, disponibilidad)
4. Versión afectada
5. Sugerencia de mitigación (opcional)

Timeline de respuesta

Etapa	Plazo
Confirmación de recepción	48 horas
Evaluación inicial	5 días hábiles
Parche disponible	15 días hábiles (crítico) / 30 días (medio-bajo)
Disclosure público	90 días desde el reporte inicial

Política de Coordinated Disclosure

Seguimos una política de divulgación coordinada (Coordinated Disclosure) con un plazo de 90 días:

1. El investigador reporta la vulnerabilidad por canal privado
2. El equipo confirma, evalúa y desarrolla un parche
3. Se publica el parche junto con un advisory
4. El investigador puede publicar su hallazgo después del parche o tras 90 días (lo que ocurra primero)

Alcance

In-scope

• scraper.py — lógica de scraping, parsing de HTML, generación de archivos
• .github/workflows/update.yml — pipeline de CI/CD
• Dependencias directas (requests, beautifulsoup4, lxml)
• Configuración de GitHub Pages y Jekyll

Out-of-scope

• Sitios web de terceros scrapeados (fuentes externas)
• Infraestructura de GitHub (Actions, Pages)
• Contenido de eventos generado por terceros

Prácticas de seguridad del proyecto

• Sin almacenamiento de credenciales o tokens en el código
• Sin ejecución de código dinámico (eval, exec)
• Validación de fechas con rango acotado (2024-2030) para prevenir inyección de datos
• User-Agent declarado para transparencia en scraping
• Sin base de datos SQL (JSON estático, sin riesgo de SQLi)
• Dependencias mínimas y auditadas

Reconocimientos

Agradecemos a los investigadores que reportan vulnerabilidades de forma responsable.

Investigador	Fecha	Descripción
Tu nombre aquí	—	Sé el primero en contribuir

---

Mantenido por TTPSEC SpA — Consultora de ciberseguridad OT/ICS