Neufe ERP'nin güvenliğini ciddiye alıyoruz. Eğer bir güvenlik açığı bulduysanız, lütfen sorumlu bir şekilde bildirin.

Lütfen güvenlik açıklarını herkese açık issue olarak AÇMAYIN.

Bunun yerine:

1. Email: Güvenlik açığını Tunay Engin email ile bildirin
2. Detay: Sorunu detaylı açıklayın
3. Kanıt: Mümkünse PoC (Proof of Concept) ekleyin
4. Gizlilik: Sorunu çözmemize kadar gizli tutun

• Yanıt süresi: 48 saat içinde ilk yanıt
• Düzeltme süresi: Kritik açıklar için 7 gün, diğerleri için 30 gün
• Bildirim: Düzeltme yayınlandıktan sonra sizi bilgilendireceğiz
• Tanıma: İsterseniz, SECURITY.md'de isminizi paylaşabiliriz

1. Environment Variables:

   • .env dosyasını asla commit etmeyin
   • Güçlü ve benzersiz database şifreleri kullanın
   • Production ortamında test verilerini kullanmayın

2. Database:

   • PostgreSQL'i güvenli bir şekilde yapılandırın
   • Düzenli yedek alın
   • Yetkisiz erişimi engelleyin (firewall, IP whitelist)

3. Şifreler:

   • Varsayılan kullanıcı şifrelerini değiştirin
   • Güçlü şifreler kullanın (min. 12 karakter, karışık)
   • Düzenli şifre değişikliği yapın

4. Ağ Güvenliği:

   • Uygulamayı public network'e direkt açmayın
   • VPN veya SSH tunnel kullanın
   • HTTPS kullanın (production için)

5. Güncellemeler:

   • Node.js ve npm paketlerini güncel tutun
   • npm audit ile güvenlik açıklarını kontrol edin
   • Electron'u güncel versiyonda tutun

1. Kod Güvenliği:

   • SQL Injection'a karşı Prisma ORM kullanın (✅ Mevcut)
   • XSS saldırılarına karşı input sanitization
   • CSRF tokenları kullanın
   • Rate limiting uygulayın

2. Bağımlılıklar:

   npm audit                    # Güvenlik açıklarını kontrol et
   npm audit fix                # Otomatik düzeltme
   npm outdated                 # Güncel olmayan paketler

3. Environment:

   • Hassas bilgileri asla hardcode etmeyin
   • .env dosyasını .gitignore'a ekleyin (✅ Mevcut)
   • Production'da NODE_ENV=production kullanın

4. Authentication:

   • Bcrypt ile şifre hashleme (✅ Mevcut)
   • Session management
   • JWT token güvenliği
   • Brute force koruması

5. IPC Security:

   • IPC handler'larda input validation
   • Yetkilendirme kontrolleri
   • Context isolation (Electron)

1. Session Management:

   • ⚠️ Session storage localStorage'da (XSS riski)
   • 🔄 TODO: HttpOnly cookies kullan

2. Rate Limiting:

   • ⚠️ Login ve API endpoint'lerinde yok
   • 🔄 TODO: Express-rate-limit ekle

3. Audit Logging:

   • ✅ Temel audit logging mevcut
   • 🔄 TODO: Daha kapsamlı loglama

4. e-Invoice Integration:

   • ⚠️ API credentials şifrelenmemiş
   • 🔄 TODO: Encryption ekle

Deployment öncesi kontrol edin:

• .env dosyası .gitignore'da
• Varsayılan şifreler değiştirildi
• Database production'da güvenli
• HTTPS yapılandırıldı
• Firewall kuralları ayarlandı
• Backup sistemi çalışıyor
• npm audit temiz
• Sentry/Error tracking aktif
• Admin paneli korumalı
• SSL sertifikası geçerli

Kritik güvenlik güncellemeleri için:

• GitHub Security Advisories'i takip edin
• Node.js Security Releases
• Electron Security
• OWASP Top 10

Güvenlik konularında:

• Email: tunay.e@prn.tf
• PGP Key: [İsteğe bağlı]
• Response Time: 48 saat içinde

Güvenlik açıklarını sorumlu bir şekilde bildiren kişiler:

• (Henüz kimse yok - ilk sen ol!)

Not: Bu güvenlik politikası sürekli güncellenmektedir. Son güncelleme: 2025-12-19