Saltar a contenido

Cómo reportar seguridad y conducta

Esta guía cubre cómo reportar una vulnerabilidad de forma responsable y dónde vive el código de conducta de la comunidad.

Fuente canónica

La fuente única de verdad de seguridad es SECURITY.md y la de conducta es CODE_OF_CONDUCT.md, ambas en la raíz del repo. Esta página es un resumen — ante cualquier diferencia, gana el archivo raíz.

Reportar una vulnerabilidad

  1. No abras un issue público para vulnerabilidades de seguridad.
  2. Reportá de forma privada siguiendo el proceso descrito en SECURITY.md.
  3. Incluí: descripción del problema, pasos para reproducir, impacto potencial y, si la tenés, una propuesta de mitigación.

Buenas prácticas de seguridad en el stack

  • Nunca commitees .env, .sdd/engram.db, API keys ni secrets. Están en .gitignore.
  • Si una key se filtra: revocala inmediatamente y generá una nueva. Ver Gestión de API keys.
  • Prompt injection vía PDF: el stack sanitiza texto de PDFs (extract_pdf_text_sanitized, mitigación F03) antes de pasarlo a un LLM.
  • HMAC audit trail: los sub-agentes comerciales encadenan resultados con HMAC verificable.

Código de conducta

La comunidad LATAM de Belico se rige por el CODE_OF_CONDUCT.md. En resumen: respeto, colaboración y cero tolerancia al acoso. Los reportes de conducta se manejan de forma confidencial.

Compliance regional

Belico es LATAM-first: compliance con Ley 29733 (Perú), LGPD (Brasil), ICMJE (Jan 2026) y Springer Nature 2026. Ver Ecosystem.

Ver también