الأمان

الإفصاح المسؤول

نبني VeloCMS لتحظى بثقة آلاف المدونين وقرّائهم. الأمان ليس فكرة لاحقة، بل هو شرط أساسي لا تقوم المنصة دونه. إن صادفتَ شيئاً يبدو مريباً، فنحن نودّ أن نسمع منك، ونحن مستعدون لمكافأة الأبحاث النزيهة بما يتناسب مع مستوى تأثيرها.

البرنامج مستقل وتديره الشركة بنفسها. غياب عمولات منصات مثل HackerOne يعني أن كل دولار من الميزانية السنوية يذهب مباشرةً إلى الباحثين. نعتزم الانتقال إلى منصة مُدارة حين تبلغ إيراداتنا حجماً معتبراً — وحتى ذلك الحين، يُبقي هذا الهيكل الأمور مرنةً ويمنحنا التحكم الكامل في مسار الاستجابة.

كيفية الإبلاغ

أسرع طريق هو نموذج الإبلاغ المنظَّم؛ ستتلقى رسالة تأكيد آلية خلال 60 ثانية تحمل معرّف بلاغك. إن آثرتَ البريد الإلكتروني فهو خيار مقبول أيضاً. أما المسائل المتعلقة بالكود — كسلسلة التوريد، وتسلسل التبعيات، أو الأسرار المكشوفة في المستودع — فيتعامل معها GitHub Security Advisories بشكل سري حتى يُطرح الإصلاح.

الخيار المفضل — JSON endpoint

POST https://velocms.org/api/security/report
Content-Type: application/json

{
  "researcher_email": "[email protected]",
  "title": "Short summary",
  "description": "Full vulnerability description (50+ chars)",
  "poc": "Proof-of-concept steps (optional)",
  "affected_url": "https://velocms.org/affected-path (optional)"
}

مراسلة [email protected]GitHub Security Advisory

مستويات المكافآت

الحد الأقصى للميزانية السنوية: $5,000 USD. تُصرف عبر PayPal أو Wise خلال 30 يوماً من تحديد مستوى الخطورة.

الخطورة	النطاق بالدولار	أمثلة
حرجة	500$ – 2,000$	تنفيذ أوامر عن بُعد (RCE)، تجاوز المصادقة، اختراق عزل المستأجرين، تسريب بيانات (أكثر من 100 مستأجر)
عالية	200$ – 500$	تصعيد الصلاحيات، SSRF، XSS دائم، CSRF على إجراءات حساسة
متوسطة	50$ – 200$	XSS منعكس، خلل في التحكم بالوصول (مستخدم واحد)، تثبيت الجلسة
منخفضة	25$ – 50$	إفصاح محدود عن معلومات، غياب ترويسات غير حساسة، أخطاء محدودة الأثر
إعلامية	0$ + هدايا	اقتراحات لتعزيز الحماية، ثغرات في أفضل الممارسات دون مسار استغلال قابل للتنفيذ

النطاق

ضمن النطاق

+الإنتاج على velocms.org بما يشمل /admin
+النطاقات الفرعية للمستأجرين على *.velocms.org
+مدونات المستأجرين ذات النطاقات المخصصة
+الواجهة الخلفية PocketBase (بيئة الإنتاج)
+معالجات Stripe webhook
+تدفقات البريد الإلكتروني (الرابط السحري، التحقق من العضوية)
+بيئة sandbox في سوق الإضافات
+جميع مسارات /api/*

خارج النطاق

−الهندسة الاجتماعية والتصيد الاحتيالي
−هجمات DDoS والهجمات الحجمية
−Stripe وResend وCloudflare وRailway
−نشرات VeloCMS المُستضافة ذاتياً
−ثغرات نظرية بلا إثبات مفهوم (PoC)
−XSS الذاتي (بلا ناقل تصيد)
−ثغرات npm قديمة (يرصدها CI)
−بيئات التجريب والمحلية (staging / localhost)

جدول الإفصاح الزمني

بمجرد إبلاغك، إليك ما يجري على طرفنا وما يمكنك توقعه في كل مرحلة.

خلال 60 ثانيةرسالة تأكيد آلية تتضمن معرّف بلاغك

خلال 48 ساعةرد المؤسس: تقييم الخطورة وجدول الإصلاح

خلال 7 أيامتحديد رسمي لمستوى الخطورة وتأكيد المكافأة

الحرجة: 7 أيامهدف الإصلاح (فرع hotfix ونشر فوري)

العالية: 30 يوماًهدف الإصلاح (الدورة البرمجية القادمة)

المتوسطة: 90 يوماًهدف الإصلاح (قائمة انتظار الدورات الاعتيادية)

المنخفضة: بأفضل جهد ممكنعنصر في قائمة التراكم

90 يوماً افتراضياًنافذة الإفصاح المنسَّق قبل الإعلان للعموم

الملاذ الآمن

لن نتخذ أي إجراء قانوني ضد الباحثين الذين يكتشفون الثغرات ويُبلّغون عنها ضمن هذا البرنامج بنية حسنة، ما لم يتجاوزوا الوصول إلى بيانات المستخدمين أو تسريبها إلى ما يتخطى ما يلزم لإثبات المشكلة، وشرط أن يمنحونا وقتاً معقولاً للإصلاح قبل أي إفصاح علني.

يسري هذا الملاذ الآمن على الأبحاث النزيهة الواقعة ضمن النطاق المحدد فحسب. ولا يشمل الأنشطة التي تُلحق ضرراً فعلياً بالمستخدمين أو المستأجرين أو بنية المنصة التحتية.

ضوابط الأمان وموقف الامتثال

في VeloCMS، يبقى محتواك وبيانات قرّائك وبيانات اعتماد الدفع تحت سيطرتك الكاملة — مشفَّرة ومعزولة، ولا تُشارَك قط بين المستأجرين. كل سرّ تزوّده — سواء أكان مفاتيح Stripe أم مفاتيح AI API — يُغلَّف بتشفير AES-256-GCM قبل أن يلمس قاعدة بياناتنا. وتنفصل بيانات المستأجرين على مستويَي قاعدة البيانات والتطبيق معاً، فلا يستطيع مدوّن الوصول إلى محتوى الآخر أبداً. ليس هذا وعداً تسويقياً، بل ضماناً تفرضه ضابطتان تقنيتان مستقلتان تعملان على كل طلب.

منظومة المراقبة تعمل دائماً. يرصد Sentry الأخطاء غير المعالَجة في اللحظة ذاتها التي تحدث فيها. ويفحص UptimeRobot المنصة كل خمس دقائق للتحقق من استجابتها. وتُعلم Dependabot بثغرات التبعيات قبل أن تبلغ الإنتاج. وكل تغيير في الإنتاج يمر عبر دورة تحقق رباعية الأبواب — فحص الأنواع، واللِّنت، واختبارات الوحدة، والبناء الكامل — قبل أن يُنشر.

نحن في مرحلة التحضير النشط لشهادة SOC 2 Type 1. الضوابط التقنية — تسجيل التدقيق ومراجعات الوصول وبيانات الاعتماد المشفَّرة بنموذج إحضار المفاتيح الخاصة والمراقبة المستمرة — كانت حية منذ الإطلاق. أما وثائق السياسات والارتباط الرسمي للتدقيق فهو قيد الإعداد. إن كنتَ تُقيّم VeloCMS لأغراض مؤسسية وتحتاج إلى مصفوفة الضوابط أو مكتبة السياسات في إطار اتفاقية سرية، فتواصل معنا.

التشفير

AES-256-GCM مع غلاف HKDF لجميع أسرار المستأجرين

عزل المستأجرين

طبقة مزدوجة: قواعد PocketBase API وسجل تصفية التطبيق

سلامة Webhook

HMAC-SHA256 على جميع أحداث Stripe webhook

التحكم في الوصول

بيانات اعتماد بأدنى صلاحية؛ رموز مُقيَّدة النطاق لكل خدمة

المراقبة

Sentry + UptimeRobot + Logflare — مستمرة لا دورية

إدارة التغييرات

CI رباعي الأبواب + commits تقليدية + نشر آلي عبر Railway من main

سجلات التدقيق

قواعد حذف غير قابلة للتغيير؛ كل حدث مصادقة مُسجَّل

SOC 2 Type 1

الضوابط قائمة منذ الإطلاق؛ ارتباط التدقيق الرسمي قيد الإعداد

للاستفسارات المتعلقة بالامتثال أو لطلب مصفوفة ضوابط SOC 2 في إطار اتفاقية سرية: [email protected]

رصدتَ شيئاً ما؟ البرنامج نشط والمكافآت تُصرف فعلاً.

عرض قاعة الشرف