A segurança é uma prioridade fundamental no projeto BeBitter Portfolio. Agradecemos sua ajuda para manter este projeto seguro para todos os usuários.

Preferimos que vulnerabilidades sejam reportadas de forma privada e responsável através dos seguintes canais:

1. GitHub Security Advisories (Recomendado)

   • Reportar via GitHub
   • Sistema criptografado e privado

2. E-mail Direto

   • ✉️ [email protected]
   • Assunto: [SECURITY] Vulnerabilidade no BeBitter Portfolio

Para acelerar o processo de correção, inclua as seguintes informações:

• Descrição clara do problema de segurança
• Passos para reproduzir a vulnerabilidade
• Exemplo mínimo reproduzível (se possível)
• Versões afetadas do projeto
• Impacto potencial e vetor de ataque
• Suas informações de contato para acompanhamento

Valorizamos relatórios sobre:

• Cross-Site Scripting (XSS)
• Vulnerabilidades de autenticação/autorização
• Exposição de dados sensíveis
• Injection attacks (SQL, Command, etc.)
• Vulnerabilidades em dependências críticas
• Problemas de configuração de segurança
• Cross-Site Request Forgery (CSRF)

• Atualizações semanais sobre o progresso da correção
• Notificação imediata quando a correção estiver disponível
• Detalhes técnicos incluídos no advisory público

• Não publique detalhes da vulnerabilidade publicamente até que uma correção seja disponibilizada
• Aguarde o anúncio oficial da correção antes de divulgar
• Colabore conosco para garantir uma divulgação coordenada e responsável

• Crédito público no advisory de segurança (se desejado)
• Agradecimento nas notas de lançamento
• Menção na seção de colaboradores do projeto

• Monitoramento contínuo de vulnerabilidades em dependências
• Atualizações automáticas para correções de segurança
• Auditoria regular com pnpm audit
• Renovação proativa de dependências desatualizadas

• Content Security Policy (CSP) configurado
• HTTPS obrigatório em produção
• Sanitização de inputs com Zod
• Proteção XSS nativa do React
• Headers de segurança configurados

• Secrets nunca commitados (.gitignore rigoroso)
• Variáveis de ambiente para configurações sensíveis
• Linting de segurança com ESLint
• Auditoria de dependências no CI/CD

• Error Boundary para captura de erros
• Logging seguro (sem dados sensíveis)
• Analytics de segurança via Google Analytics
• Monitoramento de performance e anomalias

Para vulnerabilidades de alta/crítica severidade:

1. Solicitaremos um CVE quando apropriado
2. Incluiremos o ID CVE no advisory público
3. Notificaremos as bases de dados de vulnerabilidades
4. Coordenaremos com outras plataformas de segurança

Bernardo Gomes - Desenvolvedor Principal

• 📧 E-mail: [email protected]
• 💼 LinkedIn: @bernardopg
• 🐙 GitHub: @bernardopg
• 📱 WhatsApp: +55 (31) 98491-6431

Para comunicações mais sensíveis, solicite nossa chave PGP através do e-mail principal.

• Nunca comitar secrets ou credenciais
• Validar todos os inputs do usuário
• Usar HTTPS em todas as comunicações
• Implementar CSP adequado
• Manter dependências atualizadas
• Executar pnpm audit regularmente

• Manter o site sempre atualizado
• Verificar certificados SSL
• Reportar comportamentos suspeitos
• Não compartilhar informações sensíveis

• Última atualização: Setembro 2025
• Versão da política: 2.0.0
• Conformidade: OWASP Top 10, GDPR
• Revisão: Trimestral

Agradecemos a todos os pesquisadores de segurança e colaboradores que ajudam a manter o BeBitter Portfolio seguro e confiável.

Construído com segurança em mente 🛡️

Para mais informações sobre o projeto, consulte nosso README.md