Skip to main content

Avis de sécurité

Le flux d'avis de sécurité Tale — format CVE, échelle de sévérité à quatre niveaux, calendrier de divulgation auquel les mainteneurs s'engagent, et comment t'abonner.

4 min read

Tale publie un avis de sécurité pour chaque vulnérabilité qui se ferme par une release patchée. Le flux vit sous GitHub Security Advisories sur le dépôt tale-project/tale et se miroite vers un endpoint RSS que les opérateurs peuvent brancher dans leur alerting. Cette page couvre le format que suit chaque avis, l'échelle de sévérité que Tale utilise, le calendrier de divulgation auquel les mainteneurs s'engagent, et les trois chemins d'abonnement.

Les avis sont l'enregistrement long format. Le résumé d'une ligne plus un lien apparaît dans la section Sécurité de chaque note de version.

Le format des avis

Chaque avis est un GitHub Security Advisory avec un identifiant stable de la forme TAL-YYYY-NNN (ID interne de Tale) plus le CVE-YYYY-NNNNN upstream s'il en a un d'attribué. Le corps est le même ensemble ordonné de sections pour qu'un opérateur scanne les faits porteurs sans lire la prose.

  • Résumé — une phrase nommant ce qu'un attaquant pourrait faire et ce que le fix change.
  • Versions affectées — la plage de versions qui contient la vulnérabilité, en forme semver (>=0.8.0, <0.12.3).
  • Versions patchées — la première release qui contient le fix. Monter à ou au-delà de cette version ferme la vulnérabilité.
  • Sévérité — un des quatre niveaux ci-dessous, plus le vecteur CVSS 3.1 pour les opérateurs qui scorent contre leur propre threat model.
  • Contournements — quoi régler, désactiver ou bloquer pour mitiger la vulnérabilité quand une montée de version immédiate n'est pas possible. Vide quand aucun contournement n'existe.
  • Crédits — le rapporteur, quand il a demandé à être nommé.

La ligne des versions patchées est celle sur laquelle la plupart des opérateurs atterrissent en premier ; la montée de version elle-même est la séquence à deux commandes de Montées de version.

L'échelle de sévérité

Tale utilise quatre niveaux. Le niveau est posé à partir du score CVSS et de l'accessibilité de la surface vulnérable sur un install par défaut.

NiveauCVSSCe que ça veut dire
Critical9.0+Exécution de code à distance pré-authentifiée ou exfiltration de données non authentifiée. Patche sous 24 heures.
High7.0–8.9Escalade authentifiée, évasion de sandbox ou fuite de données cross-tenant. Patche sous une semaine.
Moderate4.0–6.9Divulgation d'information, déni de service ou escalade demandant des préconditions rares. Patche à la prochaine fenêtre de maintenance.
Low0.1–3.9Fixes de défense en profondeur et durcissement sans chemin d'exploitation connu. Patche quand ça t'arrange.

Le vecteur CVSS te laisse re-scorer contre ton propre déploiement — un avis noté High contre un install public peut être Low contre un air-gappé.

Le calendrier de divulgation

Les mainteneurs s'engagent sur le calendrier suivant à partir du moment où un rapport atterrit à security@tale.dev :

  • Sous 72 heures — accusé de réception, un triage call et un identifiant TAL attribué.
  • Sous 14 jours — un fix ou un contournement publié en privé au rapporteur, et la version patchée planifiée.
  • À la sortie du fix — l'avis est publié sur GitHub, l'attribution du CVE est demandée, et la section sécurité des notes de version porte le résumé.
  • 30 jours après la sortie — le détail technique dans l'avis s'étend avec le reproducteur (quand reproduire en public ne met plus en risque les installs non patchés).

Les rapporteurs peuvent demander un délai s'ils ont besoin de plus de temps pour divulguer ; les mainteneurs acceptent jusqu'à 90 jours avant de publier le résumé malgré tout.

Côté ingénierie, les correctifs de dépendances passent par une voie rapide pour que la version corrigée arrive vite : Renovate ouvre une PR de mise à jour de sécurité dans les 24 heures suivant un advisory amont — en contournant le délai d'âge de version appliqué aux mises à jour de routine — et la CI bloque tout merge introduisant un advisory connu noté High ou Critical. Un CVE de dépendance divulgué devient ainsi une version Tale corrigée en quelques jours, et non au prochain cycle de routine.

S'abonner

Trois chemins vers le même flux :

text
Watch GitHub     — github.com/tale-project/tale → Watch → Custom → Security alerts
RSS              — https://github.com/tale-project/tale/security/advisories.atom
Digest courriel  — security-announce@tale.dev (un courriel par avis, pas de trafic entre)

Le flux RSS est ce que la plupart des opérateurs branchent dans Slack ou PagerDuty ; le digest courriel est pour les équipes d'une personne qui ne font pas tourner de pipeline d'alerting.

Où cela s'inscrit

Le flux des avis est un des deux contrats qui rendent Tale auto-hébergeable sereinement — les notes de version nomment ce qui change, les avis nomment ce qui n'allait pas. Les prochaines lectures naturelles sont Comment lire les notes de version pour le format de changelog correspondant et Durcissement pour la checklist qui limite l'exposition avant qu'un avis ne tire.

© 2026 Tale by Ruler GmbH — ISO 27001 & SOC 2 certified.

Tale is MIT licensed — free to use, modify, and distribute.