Sécurité — FerrFlow

FerrFlow est une CLI open source. Elle s'exécute entièrement sur votre machine ou dans votre runner CI — votre code source, vos commits, vos tags. Rien ne quitte votre infrastructure, rien ne téléphone à la maison. Cette page indique comment la chaîne d'approvisionnement du binaire est protégée, où signaler une vulnérabilité, et ce qui est dans le périmètre.

Posture

FerrFlow n'a aucun serveur à protéger. Pas de compte FerrFlow, pas de base de données, pas d'endpoint API manipulant des données utilisateur. La CLI lit votre historique git, modifie les chaînes de version dans des fichiers que vous contrôlez, pousse des tags via vos identifiants git existants, puis sort. Le site compagnon ferrflow.com est une surface de documentation statique — voir la politique de confidentialité pour le peu qu'il journalise.

Pour la posture sécurité plus large de la plateforme FerrLabs (chiffrement, identité, isolation réseau, journalisation d'audit, gestion des sous-traitants), voir ferrlabs.com/fr/security. FerrFlow hérite très peu de cette posture en pratique — c'est une CLI, pas un SaaS — mais la page canonique reste la source de vérité pour les contrôles FerrLabs.

Modèle de menace

La principale surface de risque est la chaîne d'approvisionnement du binaire. Un build FerrFlow malveillant dans un runner CI pourrait lire le contenu du dépôt, pousser des tags ou publier des releases avec les identifiants du projet. Mesures d'atténuation :

• Chaque release est construite dans GitHub Actions à partir du dépôt public FerrLabs/FerrFlow, avec attestation de provenance (cible SLSA L3).
• Les binaires et images de conteneurs sont signés ; les checksums et signatures sont publiés avec chaque release sur github.com/FerrLabs/FerrFlow/releases.
• Le bundle self-host ghcr.io/ferrlabs/ferrflow-selfhost est distribué uniquement via GHCR, avec des signatures d'image vérifiables via cosign.
• Le JSON Schema servi à ferrflow.com/schema/ferrflow.json est diffusé depuis la même origine statique que ce site et est strictement identique octet pour octet à schema/ferrflow.json dans le dépôt source.

Signaler une vulnérabilité

Deux canaux — choisissez celui qui correspond à votre workflow. Les deux sont surveillés.

• E-mail : security@ferrlabs.com. Empreinte de clé PGP et politique sur ferrlabs.com/.well-known/security.txt.
• Security advisory privé GitHub : déposez un advisory privé directement sur le dépôt. Canal préféré si vous reproduisez déjà le problème sur une release taguée.

Nous appliquons une divulgation coordonnée avec un délai par défaut de 90 jours. Accusé de réception sous 3 jours ouvrés, calendrier de divulgation négocié, crédit donné au rapporteur dans l'advisory publié sauf demande d'anonymat. Merci de ne pas ouvrir d'issue publique GitHub pour les vulnérabilités.

Périmètre

Dans le périmètre :

• Le code source de la CLI FerrLabs/FerrFlow et les binaires qu'il produit.
• Les images de conteneurs publiées sur ghcr.io/ferrlabs/ferrflow*.
• Le JSON Schema servi à ferrflow.com/schema/ferrflow.json.
• Ce site marketing (ferrflow.com).

Hors périmètre :

• Les formats de fichiers tiers que FerrFlow lit ou met à jour (Cargo.toml, package.json, pyproject.toml, Chart.yaml, mix.exs, pubspec.yaml, gemspecs, etc.) — les vulnérabilités de ces écosystèmes relèvent de l'amont.
• Bugs de parsing Conventional Commits qui ne sont pas des problèmes de sécurité (ce sont des bug reports normaux).
• Déni de service en passant un input pathologique à la CLI sur votre propre machine.

Aucune donnée utilisateur

FerrFlow ne collecte, ne transmet et ne stocke aucune donnée utilisateur. Pas de télémétrie, pas de reporting d'erreur, pas d'analytics d'usage, pas de phone-home. La seule activité réseau de la CLI consiste en les opérations git que vous invoquez explicitement (fetch, push de tags, création de releases GitHub via votre propre token) et en appels HTTP vers les registries de paquets que vous avez configurés.

Le site compagnon ferrflow.com n'utilise aucun cookie ni traceur tiers ; voir la page cookies et la politique de confidentialité pour le détail complet.

Contact

security@ferrlabs.com · Advisory GitHub · Sécurité plateforme FerrLabs →

English version: Security.