Aller au contenu
English Commencer

Sécurité chez Attestely

Dernière mise à jour:

Attestely vend du logiciel de sécurité. On te doit la transparence sur la manière dont on gère la nôtre. Cette page documente notre infrastructure, nos pratiques de données et notre politique de divulgation. Elle est maintenue à jour — la date ci-dessus fait foi.

1. Infrastructure

  • Base de données principale : Supabase UE (Paris, eu-west-3) pour Postgres.
  • Edge workers : Cloudflare Workers, edge UE avec Paris en egress principal.
  • Object storage : Cloudflare R2, région UE — utilisé uniquement pour des artefacts de scan à courte durée de vie.
  • Email transactionnel : Resend, région UE.
  • Fournisseur LLM : Anthropic Claude, hébergé US, configuré avec la politique no-training data. Un contrat Zero Data Retention est en cours de mise en place avant la disponibilité générale.
  • HTTPS partout avec HSTS preload, TLS 1.2+ uniquement, suites de chiffrement fortes.
  • Gestion des secrets : bindings d'environnement Cloudflare Workers et secrets Wrangler. Aucun secret en clair dans le code source.

2. Comment nous traitons ton code

  • Les scans tournent dans ton propre environnement GitHub Actions quand c'est possible (via le CLI open-source). Seuls les findings et un petit contexte autour sont envoyés à notre backend.
  • Les snippets de code envoyés au fournisseur LLM sont traités à la volée et ne sont pas conservés chez nous au-delà du temps nécessaire à produire l'analyse d'un finding. Les blobs bruts sont purgés sous 30 jours.
  • Les findings eux-mêmes sont stockés en UE et conservés tant que tu ne les supprimes pas, ou que ton compte est actif.
  • Nous n'entraînons jamais de modèles IA ou ML sur ton code. Notre fournisseur LLM opère sous sa politique no-training data sur nos clés.

3. Le CLI open-source

Le CLI Attestely est publié sous GNU AGPLv3. La raison est documentée en interne dans l'ADR-007 : on veut que les utilisateurs puissent auditer le scanner, le faire tourner offline et le self-host gratuitement, tout en gardant le backend cloud propriétaire. Si tu as besoin d'embarquer le scanner dans un produit commercial où l'AGPL est incompatible, contacte-nous à hello@attestely.com pour discuter d'une licence commerciale.

4. Divulgation responsable

Si tu penses avoir trouvé une vulnérabilité dans Attestely (site marketing, dashboard, API, CLI, GitHub App), écris à security@attestely.com.

Pour les rapports sensibles, tu pourras chiffrer ton message avec notre clé PGP (bientôt — sera publiée sur /.well-known/security.txt) .

4.1 — Ce qu'on promet

  • Accusé de réception sous 48 heures
  • Point d'avancement sous 7 jours
  • Fenêtre de divulgation coordonnée de 14 jours pour les issues critiques, 30 à 90 jours pour les autres
  • Crédit dans le « Hall of fame » ci-dessous, sauf si tu préfères rester anonyme
  • Aucune action en justice contre une recherche menée de bonne foi dans le cadre de cette politique

4.2 — Ce qu'on te demande

  • Ne pas accéder, modifier ou détruire des données qui ne sont pas les tiennes
  • Ne pas lancer de scans automatisés contre notre infrastructure au-delà de ce qui est nécessaire pour démontrer la vulnérabilité
  • Ne pas divulguer publiquement avant qu'on ait eu une fenêtre raisonnable pour corriger (voir ci-dessus)
  • Ne pas tenter d'extorsion — ce n'est pas dans le scope de la disclosure responsable

4.3 — Périmètre

Dans le périmètre :

  • attestely.com, app.attestely.com, api.attestely.com
  • La GitHub App Attestely
  • Le repo open-source getAttestely/cli

Hors périmètre :

  • Ingénierie sociale contre notre équipe ou nos utilisateurs
  • Attaques physiques contre nos fournisseurs d'infrastructure
  • Attaques par déni de service, quel que soit le volume
  • Vulnérabilités dans des services tiers que nous utilisons (à reporter directement au fournisseur)
  • Headers de sécurité manquants sans exploit associé

5. Politique sécurité du CLI

Le repo CLI a son propre SECURITY.md avec versions supportées, plateformes supportées et instructions de reproducible builds : github.com/getAttestely/cli/blob/main/SECURITY.md.

6. Hall of fame

Les chercheur·euses qui nous aident de manière responsable seront listé·es ici, avec leur consentement.

Le hall of fame est vide pour le moment — sois le/la premier·ère.

7. Contact

Sécurité : security@attestely.com
Général : hello@attestely.com
Confidentialité : privacy@attestely.com