[Guide public de sécurité]

Documentation Sécurité

Guide public de sécurité pour intégrateurs externes. Cette page couvre la divulgation, la gestion sûre des secrets, la vérification JWT et la frontière publique de l’accès revu.

Pratiques d’intégration sûres

Protéger les identifiants client

Stockez client secrets et service tokens dans votre propre gestionnaire de secrets et faites des rotations maîtrisées.

Vérifier les JWT émis

Validez les tokens émis par Knogin via les endpoints JWKS publics au lieu de supposer des détails privés de signature.

Traiter l’accès revu comme une frontière distincte

N’inférez pas des routes non publiées, détails de schéma ou workflows partenaires à partir de la documentation publique.

Divulgation responsable

Si vous pensez avoir trouvé une vulnérabilité affectant le site public ou la surface d’intégration documentée, signalez-la en privé.

1Envoyez une description claire du problème, de la surface concernée et de l’impact observé.
2Ajoutez des étapes de reproduction sûres et des horodatages si possible.
3N’essayez pas d’escalade de privilèges, de persistance ni d’accès à des données client.
4Laissez du temps pour le triage, la remédiation et le suivi coordonné.

Contact sécurité

Utilisez cette boîte mail uniquement pour la divulgation de vulnérabilités et les signalements sécurité.

security@knogin.com

Si vous avez besoin d’un accès d’intégration ou d’une revue commerciale, utilisez le guide d’intégration ou le formulaire de contact.

Besoin du parcours d’intégration revu ?

Utilisez le guide d’intégration pour les workflows revus et la référence API publique pour le contrat externe approuvé.