Skip to content

Security: Rafik226/facturia

Security

SECURITY.md

Politique de sécurité

Versions supportées

Le projet est en développement actif. Seule la dernière version de la branche main reçoit des correctifs de sécurité.

Signaler une vulnérabilité

Merci de ne pas ouvrir d'issue publique pour une faille de sécurité.

Utilisez le canal privé de GitHub : Security → Report a vulnerability (Private vulnerability reporting) sur le dépôt, qui crée un security advisory privé visible uniquement par les mainteneurs.

Merci d'inclure : une description, les étapes de reproduction, l'impact estimé et, si possible, une proposition de correctif.

Nous nous efforçons de répondre sous 72 heures et pratiquons la divulgation coordonnée : la faille n'est rendue publique qu'une fois un correctif disponible.

Bonnes pratiques de déploiement

Facturia manipule des données comptables et fiscales. En production :

  • DEBUG=False obligatoire (sinon pages d'erreur détaillées + durcissement désactivé) ;
  • SECRET_KEY unique et secret (le code échoue au démarrage s'il est absent en prod) ;
  • ALLOWED_HOSTS strict (jamais *) ;
  • servir derrière HTTPS (SECURE_SSL_REDIRECT, HSTS et cookies sécurisés sont activés automatiquement quand DEBUG=False) ;
  • ne jamais committer de fichier .env ni la base db.sqlite3.

There aren't any published security advisories