نحن نلتزم بدعم الإصدارات التالية من MWHEBA ERP بتحديثات الأمان:
| الإصدار | مدعوم بتحديثات الأمان |
|---|---|
| 1.2.x | ✅ مدعوم كاملاً |
| 1.1.x | ✅ مدعوم جزئياً |
| 1.0.x | ❌ غير مدعوم |
| < 1.0 | ❌ غير مدعوم |
إذا اكتشفت ثغرة أمنية في MWHEBA ERP، يرجى عدم إنشاء issue عام. بدلاً من ذلك:
- أرسل تقريراً خاصاً عبر GitHub Security Advisories
- أو راسلنا مباشرة على: info@mwheba.com
- أو استخدم نموذج الإبلاغ في قسم Security
يرجى تضمين المعلومات التالية:
- وصف مفصل للثغرة
- خطوات إعادة الإنتاج
- الإصدار المتأثر
- التأثير المحتمل
- اقتراحات للإصلاح (إن وجدت)
- 24 ساعة: تأكيد استلام التقرير
- 72 ساعة: تقييم أولي للثغرة
- 7 أيام: خطة الإصلاح والجدولة الزمنية
- 30 يوم: إصدار التحديث الأمني
# استخدم متغيرات البيئة للمعلومات الحساسة
export SECRET_KEY="your-secret-key-here"
export DATABASE_URL="your-database-url"
export REDIS_URL="your-redis-url"
# لا تضع المعلومات الحساسة في الكود
# ❌ خطأ
SECRET_KEY = "django-insecure-key-123"
# ✅ صحيح
SECRET_KEY = os.environ.get('SECRET_KEY')# في settings.py
DEBUG = False # في الإنتاج
ALLOWED_HOSTS = ['yourdomain.com']
SECURE_SSL_REDIRECT = True
SECURE_HSTS_SECONDS = 31536000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True- استخدم كلمات مرور معقدة (12+ حرف)
- امزج بين الأحرف والأرقام والرموز
- لا تعيد استخدام كلمات المرور
- فعّل المصادقة الثنائية عند توفرها
- استخدم HTTPS دائماً
- تأكد من تحديث المتصفح
- لا تصل للنظام من شبكات عامة غير آمنة
- اخرج من النظام بعد الانتهاء
الحزمة المتأثرة: Brotli <= 1.1.0
الحالة: ⏳ في انتظار إصدار 1.2.0 على PyPI
التأثير: هجوم DoS عبر decompression bomb - يمكن للخوادم الخارجية تعطيل النظام باستخدام أقل من 80GB من الذاكرة
التخفيف المطبق:
- ✅ تجنب فك ضغط بيانات Brotli من مصادر غير موثوقة
- ✅ مراقبة استخدام الذاكرة في الإنتاج
- ✅ تفعيل حدود الذاكرة في Docker/Container
- 🔄 سيتم الترقية فوراً عند توفر 1.2.0 على PyPI
الجدول الزمني:
- 2025-11-02: تم اكتشاف الثغرة وتوثيقها
- TBD: انتظار إصدار Brotli 1.2.0 على PyPI
- TBD: الترقية الفورية بعد الإصدار
المراجع:
- نظام صلاحيات متقدم مع 440+ صلاحية
- مجموعات مستخدمين مع صلاحيات محددة
- تسجيل دخول آمن مع حماية من Brute Force
- جلسات آمنة مع انتهاء صلاحية تلقائي
- تسجيل جميع العمليات المالية والمحاسبية
- تتبع تغييرات البيانات مع معلومات المستخدم
- مراقبة محاولات الدخول الفاشلة
- تنبيهات أمنية للأنشطة المشبوهة
- تشفير كلمات المرور باستخدام Django's PBKDF2
- حماية من SQL Injection عبر Django ORM
- حماية من XSS مع Django templates
- حماية CSRF مع Django middleware
- نسخ احتياطية تلقائية للبيانات المالية
- تشفير النسخ الاحتياطية قبل التخزين
- اختبار دوري لاستعادة البيانات
- تخزين آمن في مواقع متعددة
- متوفر 24/7 للحوادث الحرجة
- زمن استجابة: أقل من ساعة للحوادث الحرجة
- تقييم سريع وخطة احتواء فورية
- احتواء الثغرة ومنع انتشارها
- تقييم الضرر وتحديد البيانات المتأثرة
- إصلاح الثغرة وتطبيق التحديث
- إشعار المستخدمين المتأثرين
- مراجعة شاملة ومنع تكرار المشكلة
- ✅ OWASP Compliance - متوافق مع معايير OWASP
- ✅ Django Security - يتبع أفضل ممارسات Django
- ✅ Data Protection - حماية البيانات الشخصية
- ✅ Regular Audits - مراجعات أمنية دورية
- البريد الإلكتروني: info@mwheba.com
- الهاتف الطارئ: +20-XXX-XXX-XXXX
- ساعات العمل: 24/7 للحوادث الحرجة
نرحب بمساهمات المجتمع في تحسين أمان النظام:
- اقتراح تحسينات أمنية
- مراجعة الكود من ناحية الأمان
- اختبار الاختراق الأخلاقي
- تطوير أدوات أمنية مساعدة
شكراً لك على مساعدتنا في الحفاظ على أمان MWHEBA ERP! 🙏
آخر تحديث: أكتوبر 2025