Nous prenons la sécurité de NextStep très au sérieux. Voici les versions actuellement supportées avec des mises à jour de sécurité :

Si vous découvrez une vulnérabilité de sécurité dans NextStep, merci de nous la signaler de manière responsable.

NE PAS créer d'issue publique pour les vulnérabilités de sécurité.

Envoyez un email à : security@nextstep.com

Incluez dans votre rapport :

1. Description de la vulnérabilité
2. Étapes pour reproduire le problème
3. Impact potentiel (qui est affecté, quelles données sont à risque)
4. Versions affectées
5. Suggestions de correction (si vous en avez)

• Accusé de réception : Sous 48 heures
• Évaluation initiale : Sous 5 jours ouvrables
• Mise à jour régulière : Tous les 7 jours jusqu'à résolution

1. Vous signalez la vulnérabilité en privé
2. Nous confirmons la réception et évaluons la gravité
3. Nous développons un correctif
4. Nous publions le correctif dans une nouvelle version
5. Nous publions un avis de sécurité
6. Vous êtes crédité (si vous le souhaitez) dans l'avis de sécurité

Nous reconnaissons et remercions publiquement les chercheurs en sécurité qui signalent des vulnérabilités de manière responsable :

• Mention dans le fichier SECURITY.md
• Mention dans les notes de version
• Crédit dans l'avis de sécurité

1. Mots de passe : Toujours hasher avec bcrypt (configuré par défaut)
2. Validation : Valider toutes les entrées utilisateur
3. Échappement : Échapper toutes les sorties (Twig le fait automatiquement)
4. CSRF : Activer la protection CSRF sur tous les formulaires
5. SQL Injection : Utiliser Doctrine ORM (paramètres liés automatiquement)
6. XSS : Utiliser les filtres Twig (|e, |escape)
7. Dépendances : Maintenir les dépendances à jour

1. HTTPS : Toujours utiliser HTTPS en production
2. Variables d'environnement : Ne jamais commiter .env.local
3. Permissions : Configurer correctement les permissions des fichiers
4. Logs : Surveiller les logs pour détecter les activités suspectes
5. Backups : Effectuer des sauvegardes régulières
6. Mises à jour : Appliquer les mises à jour de sécurité rapidement

expose_php = Off
display_errors = Off
log_errors = On
error_log = /var/log/php/error.log
session.cookie_httponly = 1
session.cookie_secure = 1
session.use_strict_mode = 1

APP_ENV=prod
APP_DEBUG=0

# config/packages/security.yaml
security:
    password_hashers:
        App\Entity\User:
            algorithm: auto
            cost: 12  # Augmenter en production
    
    firewalls:
        main:
            remember_me:
                secret: '%kernel.secret%'
                lifetime: 604800  # 1 semaine
                secure: true      # HTTPS uniquement
                httponly: true    # Pas accessible en JS

# Vérifier les dépendances vulnérables
composer audit

# Analyser le code avec PHPStan
vendor/bin/phpstan analyse src --level=8

# Scanner avec Symfony Security Checker
symfony security:check

• Toutes les dépendances sont à jour
• Aucune vulnérabilité connue dans les dépendances
• HTTPS activé en production
• Variables sensibles dans .env.local (non versionné)
• Protection CSRF activée
• Rate limiting configuré
• Logs de sécurité activés
• Backups automatiques configurés
• Permissions fichiers correctes (644 pour fichiers, 755 pour dossiers)
• Accès base de données restreint

• OWASP Top 10
• Symfony Security Best Practices
• PHP Security Cheat Sheet

Merci aux chercheurs en sécurité qui ont contribué à améliorer NextStep :

Dernière mise à jour : 2026-04-10