Política de divulgación responsable + instrucciones para verificar releases firmadas con Sigstore.
Canal privado preferido: GitHub Security Advisories (cifrado en tránsito, permite coordinar embargo).
Por favor incluye:
- Descripción + impacto.
- Pasos reproducibles (o PoC sanitizado).
- Versión afectada — tag SemVer (
v0.X.Y-rcN) o commit SHA. - Tu nombre/handle para créditos públicos (opcional).
SLA: respuesta en ≤48 horas. Coordinamos remediación + ventana de divulgación (típicamente 30–90 días según severidad CVSS).
Política completa también en /.well-known/security.txt (RFC 9116).
Cada release tag está firmada con cosign sign-blob (Sigstore keyless OIDC desde GitHub Actions) y registrada en el transparency log público de Rekor.
https://firmar.ec/.well-known/cosign.pub
Mirror en repo: infra/cosign/cosign.pub (cuando se publique).
| Campo | Valor |
|---|---|
| Tag | v0.7.0-rc1 |
| Tag SHA | 9380db41291f2beadf2f3304cecf1d322963679f |
| Rekor tlog index | 1497932420 |
| Integrated time | 2026-05-10T19:02:23 UTC |
| Sig file (base64) | _backups/F7-deploy-2026-05-10-rc1/v0.7.0-rc1.sig |
| Sigstore bundle | _backups/F7-deploy-2026-05-10-rc1/v0.7.0-rc1.bundle |
# 1. Fetch public key
curl -sf https://firmar.ec/.well-known/cosign.pub -o cosign.pub
# 2. Pin tag SHA
TAG=v0.7.0-rc1
TAG_SHA=$(git rev-parse "$TAG")
test "$TAG_SHA" = "9380db41291f2beadf2f3304cecf1d322963679f" || \
{ echo "Tag SHA mismatch — DO NOT trust"; exit 1; }
# 3. Verify signature against tag SHA via Rekor
cosign verify-blob \
--key cosign.pub \
--signature _backups/F7-deploy-2026-05-10-rc1/v0.7.0-rc1.sig \
--bundle _backups/F7-deploy-2026-05-10-rc1/v0.7.0-rc1.bundle \
--rekor-url https://rekor.sigstore.dev \
<(echo -n "$TAG_SHA")
# 4. Cross-check Rekor tlog (independiente)
rekor-cli get \
--log-index 1497932420 \
--rekor_server https://rekor.sigstore.devSi cualquier paso falla: no confíes en el artefacto. Abre un issue público con la salida exacta del comando que falló.
- SLSA: L2 con elementos L3 (provenance firmada por release, runner hardened). L3 estricto pendiente: hosted platform aislado + two-person review automatizado + atestaciones JSON públicas.
- Reproducible builds: roadmap, no verificado externamente todavía.
- SBOM: CycloneDX 1.6 + SPDX 2.3 publicados por release.
| Auditoría | Resultado | Última verificación |
|---|---|---|
| Mozilla Observatory | A+ 125/100 | 2026-05-08 |
| SSL Labs | A+ | 2026-05-08 |
| securityheaders.com | A+ | 2026-05-08 |
| OpenSSF Scorecard | en monitoreo | rolling |
Ningún incidente reportado a la fecha. Cuando ocurra el primero, se publicará en esta sección con fecha, alcance, mitigación y lecciones.
Última actualización: 2026-05-10.