Reporting
Heb je een security-issue gevonden? Mail naar security@thebarakahlab.nl. We reageren binnen 5 werkdagen.
Zie ook: /.well-known/security.txt voor RFC 9116 disclosure-info.
Wat we wel willen
- Reproducible proof-of-concept
- Beschrijving van impact (wat kan een aanvaller hiermee?)
- Suggested fix als je er één hebt
- Tijd om te fixen vóór publieke disclosure (gewoonlijk 90 dagen)
Wat we niet willen
- DoS-tests of bruteforce zonder schriftelijke toestemming
- Toegang tot data van andere klanten — gebruik test-account via security@
- Social engineering van ons of klanten
- Public disclosure vóór fix-deadline
OWASP Top-10 status
We auditeren tegen de OWASP Top-10 (2021):
- A01 Broken Access Control — Supabase RLS policies per tabel, regelmatige audit via /admin/rls-audit
- A02 Cryptographic Failures — TLS 1.3 + HSTS preload + AES-256 encryption-at-rest (Supabase)
- A03 Injection — Zod validation aan API-grens, parameterized queries via Supabase JS-client
- A04 Insecure Design — privacy-by-design (geen tracking-pixels, minimal data-collection)
- A05 Security Misconfiguration — strict CSP, HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff
- A06 Vulnerable Components — Dependabot weekly + npm audit in CI
- A07 Auth Failures — Supabase magic-link auth (geen wachtwoorden), rate-limiting via Netlify
- A08 Data Integrity — webhook-signing, HMAC-tokens voor unsubscribe + receipt
- A09 Logging Failures — audit-log alle DB-writes, geen credit-card-data, PII gemaskeerd
- A10 SSRF — geen user-controlled URLs in fetch-calls, allowlist voor externe APIs
Bug-bounty programma
Voor nu: geen monetair bug-bounty. Wel publieke vermelding op mailto:security@thebarakahlab.nl + shukran-mail van het team. Q3 2026: we evalueren een formeel bug-bounty programma (verwachting: lichte payouts via HackerOne of Intigriti).
Pen-test schedule
Externe pen-test door geaccrediteerde partij — Q3 2026. Inhoud + scope worden dan publiek-gemaakt na fix-deadline (geen verstoppen).