Ir al contenido principal

Política de divulgación de seguridad responsable de edX

(Última actualización: )

edX reconoce y cree en la importancia y el valor de la seguridad. Es por esta razón que edX tiene un equipo de ingenieros que revisan, clasifican y abordan todas las vulnerabilidades de seguridad reportadas en edX. A continuación, encontrarás la política de seguridad de edX, que incluye una descripción de cómo informar a edX sobre una vulnerabilidad de seguridad, qué medidas tomará edX tras recibir esta información y el programa de recompensas de errores de edX.

Divulgación de una vulnerabilidad de seguridad

Si crees que has descubierto una vulnerabilidad de seguridad o actividad sospechosa relacionada con edx.org (o cualquier subdominio), o la base de código de la plataforma de Open edX, por favor, sigue los siguientes pasos:

  • Repórtalo a edX enviando un correo electrónico al equipo de seguridad de edX a security@edx.org;
  • Describe cómo es la vulnerabilidad o actividad;
  • Proporciona suficientes detalles en tu reporte para que edX pueda reaccionar de forma rápida, pudiendo reproducir y entender la vulnerabilidad, y así responder eficazmente. Estos incluyen los siguientes (si es que aplican):
    • Una descripción textual de los pasos necesarios para poder reproducir el problema;
    • El código que sirve como pruebas de concepto, y;
    • Enlaces al código vulnerable.

Al recibir tu correo electrónico, el equipo de seguridad de edX confirmará haber recibido el mismo, revisará y clasificará tu vulnerabilidad de seguridad, y actuará en consecuencia. Si es necesario, el equipo se pondrá en contacto contigo para obtener más información. El equipo no dará detalles sobre el estado de la vulnerabilidad de seguridad después de haberla revisado y evaluado.

Recompensas de errores

edX no ofrece recompensas monetarias por divulgar errores de vulnerabilidad de seguridad. Sin embargo, si reportas algo que el equipo de seguridad de edX considera importante (a su entera discreción), el equipo puede optar por proporcionar un código de cupón con un valor de hasta 150 $USD que se puede canjear en los cursos en edx.org como muestra de agradecimiento por parte de edX. El valor de este cupón dependerá de la gravedad de la vulnerabilidad de seguridad reportada y será determinada de forma interna. Ten en cuenta que la divulgación de una posible vulnerabilidad de seguridad no garantiza una recompensa. Por ejemplo, se reserva el derecho de rechazar una recompensa para los informes que son ambiguos o solamente detallan una debilidad genérica, no importante, sin explicar cómo resulta directamente en una vulnerabilidad en edx.org u otros sitios web respaldados por la plataforma de Open edX.

Otros casos

Si te has encontrado con problemas relacionados con una cuenta particular de www.edx.org, te animamos a visitar el Centro de Soporte Estudiantil en edX para encontrar ayuda.

Existen muchos sitios web respaldados por la plataforma de Open edX. Si has encontrado una vulnerabilidad relacionada directamente con una implementación de Open edX no realizada por edX LLC, por favor, ponte en contacto con los operadores de ese sitio.