Divulgation responsable et attentes de signalement
InferensLab publie une surface minimale de sécurité et de divulgation afin que les vulnérabilités ou risques d’exposition puissent être signalés sans confondre ce canal avec le support opérationnel ou le routage commercial.
L’objectif est la clarté : quoi envoyer, quoi ne pas envoyer, où signaler et quel type d’accusé de réception attendre.
Fichiers compagnons de divulgation
Divulgation + stabilité
Le signalement sécurité se situe à côté de l’intégrité et du changement, pas à part.
/.well-known/security.txt— Fichier canonique de divulgation./.well-known/change-control.json— Attentes de changement publiées./.well-known/doctrine-index.json— Surface d’intégrité des fichiers publics.
Comment signaler
- Utiliser info@inferenslab.com pour toute divulgation responsable touchant la surface publique.
- Référencer l’URL, le fichier, l’endpoint ou la route concernés.
- Décrire clairement le problème observé : exposition, frontière brisée, route trompeuse, décalage d’intégrité ou faiblesse de sécurité.
Ce qu’il faut inclure
- Chemin ou URL affecté avec précision
- Contexte de reproduction court lorsque pertinent
- Comportement observé versus comportement attendu
- Toute preuve utile à la vérification sans transmettre de données sensibles
Ce qu’il ne faut pas envoyer
- Aucune donnée client, secret, identifiant ni donnée personnelle privée
- Aucun kit d’exploitation ni trafic destructif automatisé
- Aucune hypothèse sur une infrastructure non publiée ou des systèmes internes
À quoi s’attendre
InferensLab vise un chemin clair d’accusé de réception pour toute divulgation de bonne foi. Les surfaces publiques de sécurité sont informationnelles et bornées ; elles n’impliquent ni accès ouvert à des systèmes internes, ni outillage privé, ni canal de support opératoire.