transparency

Rapport de transparence

Cette page est mise à jour trimestriellement. Elle contient le warrant canary signé mensuellement, les hashes des builds déployés (vérifiables via cosign), l'historique des demandes légales reçues, et l'état des audits externes en cours.

Contact chiffréAudit log vérifiable

Warrant canary

warrant canary · signed

signé 2026-04-26 · prochain 2026-05-26

La signature est produite offline par une clé hybride ECDSA P-384 ∥ Dilithium-3, détenue par le core team. Son absence (date de prochaine signature dépassée sans nouvelle signature) est un signal public — voir notre charte éthique et la procédure complète.

Audits externes en cours

Pentest externe

Commandé

Prestataire : À nommer à la contractualisation

Délai estimé : 4-5 semaines

Cf. docs/operations/procurement-pentest.md

Audit cryptographique

Commandé

Prestataire : À nommer à la contractualisation

Délai estimé : 5-7 semaines

Cf. docs/operations/procurement-crypto-audit.md. Bloque l'ADR-0007 (PQ hybride messaging).

Audit accessibilité

Commandé

Prestataire : À nommer à la contractualisation

Délai estimé : ~3 semaines

Cf. docs/operations/procurement-a11y-audit.md. Cible WCAG 2.2 AA.

Les résumés exécutifs des audits seront publiés dans le transparency report Q3 après livraison. Les détails exploitables restent confidentiels 90 jours après correction (coordinated disclosure).

Builds déployés (SLSA v1.0 niveau 3)

M7 — go-live

to-be-filled

à venir · cosign keyless · github/StudioCavalli/OmbrysWeb

verified

M6 — hardening & audit

77b3953

2026-04-24 · cosign keyless · github/StudioCavalli/OmbrysWeb

verified

M5 — messagerie E2EE

ce3e84b

2026-04-24 · cosign keyless · github/StudioCavalli/OmbrysWeb

verified

M4 — dashboard membre

4141768

2026-04-24 · cosign keyless · github/StudioCavalli/OmbrysWeb

verified

M3 — blog public

2a86bcb

2026-04-24 · cosign keyless · github/StudioCavalli/OmbrysWeb

verified

M2 — auth & crypto

3ed094c

2026-04-24 · cosign keyless · github/StudioCavalli/OmbrysWeb

verified

M1 — infra foundations

bd34f63

2026-04-24 · cosign keyless · github/StudioCavalli/OmbrysWeb

verified

M0 — cadrage

ea0f91c

2026-04-24 · cosign keyless · github/StudioCavalli/OmbrysWeb

verified

Chaque image OCI est signée cosign keyless via OIDC GitHub Actions. SBOM CycloneDX attaché à chaque image. Builds reproductibles vérifiés par 2 runners indépendants (.github/workflows/reproducible.yml).

Demandes légales

2026-Q2

Reçues : 0 · exécutées : 0

Aucune demande reçue. Rapport inaugural.

Le modèle Zero-Knowledge rend techniquement impossible la fourniture de données privées en clair (cf. ADR-0003). Nous documentons les demandes reçues dans la mesure où la loi nous le permet.

Rejoindre

L'invitation ne se fait pas publiquement. Si tu reçois une invitation signée d'un membre, le guide d'onboarding est publié ici.

Pour toute autre demande (press, security disclosure, question éthique) : utiliser le formulaire de contact chiffré.