Proporcionamos actualizaciones de seguridad para las siguientes versiones:

Si descubres una vulnerabilidad de seguridad, por favor repórtala de manera responsable:

• Email: karim@deacero.com
• Asunto: [SECURITY] PDF Estimator - Descripción breve
• Respuesta: Dentro de 48 horas

• Descripción detallada de la vulnerabilidad
• Pasos para reproducir el problema
• Impacto potencial y severidad
• Versión afectada
• Información del sistema (OS, Docker, etc.)

• Confirmamos la recepción del reporte
• Evaluación inicial de la vulnerabilidad

• Análisis técnico de la vulnerabilidad
• Determinación del impacto y severidad
• Desarrollo de la corrección

• Implementación de la solución
• Testing exhaustivo
• Preparación del release de seguridad

• Publicación del advisory de seguridad
• Actualización de documentación
• Reconocimiento del reportador (si lo desea)

• Ejecución remota de código
• Acceso no autorizado a datos sensibles
• Escalación de privilegios

• Denegación de servicio
• Exposición de información sensible
• Bypass de autenticación

• Inyección de datos
• Validación insuficiente
• Exposición de información no crítica

• Problemas de configuración
• Divulgación de información menor
• Vulnerabilidades que requieren acceso local

• API Keys: Nunca incluir claves en código o logs
• Documentos: Los PDFs se procesan temporalmente y se eliminan
• Logs: No registrar información sensible de documentos

• Usuario No-Root: El contenedor ejecuta como pdfuser (UID 1000)
• Privilegios Mínimos: Solo permisos necesarios
• Red Aislada: Contenedor en red propia

• Rate Limiting: Control de concurrencia implementado
• Timeout: Timeouts configurados para evitar hanging
• Retry Logic: Manejo robusto de errores de red

• Validación: Solo archivos PDF permitidos
• Tamaño: Límite de 100MB por archivo
• Cleanup: Eliminación automática de archivos temporales

# ✅ Correcto - usar archivo .env
echo "GEMINI_API_KEY=tu_clave" > .env

# ❌ Incorrecto - nunca en código
GEMINI_API_KEY = "sk-..." # NO HACER ESTO

• Datos Sensibles: Revisa documentos antes de procesar
• Backup: Mantén copias de seguridad de documentos importantes
• Limpieza: El sistema elimina archivos automáticamente

# ✅ Correcto - usar usuario no-root
docker-compose run --rm pdf-estimator

# ❌ Evitar - no ejecutar como root
docker run --user root ...

• Dependabot: Configurado para actualizaciones automáticas
• Security Advisories: Notificaciones de vulnerabilidades
• Audit Regular: Revisión mensual de dependencias

• google-genai: Cliente API principal
• pydantic: Validación de datos
• tenacity: Retry logic
• httpx: Cliente HTTP

• ✅ Contenedorización Segura: Usuario no-root implementado
• ✅ Validación de Entrada: Tipos de archivo validados
• ✅ Rate Limiting: Control de concurrencia en API
• ✅ Cleanup Automático: Eliminación de archivos temporales
• ✅ Error Handling: Manejo robusto de excepciones

Ninguna - No hay vulnerabilidades conocidas en la versión actual.

Agradecemos a todos los investigadores de seguridad que reportan vulnerabilidades de manera responsable. Su trabajo ayuda a mantener seguro el proyecto para toda la comunidad.

Última Actualización: 15 de Septiembre, 2025
Política Versión: 1.0
Contacto: karim@deacero.com