Vulnerability Disclosure Policy

Devs.Nepal welcomes good-faith research from anyone who finds a security weakness, bug, or functional issue in our platform. This policy tells you what is in scope, how to report, what response to expect, and the protections we offer researchers who report responsibly.

हाम्रो प्लेटफर्ममा सुरक्षा त्रुटि, बग वा कार्यगत समस्या भेट्ने जो कोहीबाट हामी इमान्दार अनुसन्धानको स्वागत गर्छौं। यो नीतिले के क्षेत्रभित्र पर्छ, कसरी रिपोर्ट गर्ने, के प्रतिक्रिया अपेक्षा गर्ने र जिम्मेवारीपूर्वक रिपोर्ट गर्ने अनुसन्धानकर्तालाई हामीले प्रदान गर्ने सुरक्षाहरू बताउँछ।

In scope: pmdevcore.gov.np and any sub-path served from it; the API at /api/*; the agent install script at /agent/*; our self-hosted Gitea at git.pmdevcore.gov.np. Out of scope: third-party services (Google, GitHub, etc), social-engineering staff, denial-of-service / volumetric attacks, physical security of OPMCM data centres.

क्षेत्रभित्र: pmdevcore.gov.np र यसका सबै उप-पाथ, /api/* मा रहेको API, /agent/* मा रहेको एजेन्ट स्क्रिप्ट, र git.pmdevcore.gov.np मा रहेको हाम्रो स्वयं-होस्ट गिटिया। क्षेत्रबाहिर: तेस्रो पक्षका सेवाहरू, कर्मचारीमा सामाजिक इन्जिनियरिङ, DoS आक्रमण र भौतिक सुरक्षा।

If you make a good-faith effort to comply with this policy during your research, we will not initiate or recommend any legal action against you. You may test with your own account or a freshly-created test account; you may inspect, read, and modify data that belongs to you; you may NOT access, modify, or destroy data belonging to other users.

अनुसन्धानको क्रममा यो नीतिको पालना गर्न इमान्दार प्रयास गर्नुहुन्छ भने हामी तपाईंविरुद्ध कानूनी कारबाही गर्ने वा सिफारिस गर्ने छैनौं। आफ्नो खाता वा नयाँ परीक्षण खातामार्फत परीक्षण गर्न सकिन्छ; अरूको डेटा छुने, परिवर्तन गर्ने वा नष्ट गर्ने अनुमति छैन।

We strongly prefer reports through the form at /report — it routes the submission directly into our triage queue and gives you a tracking ID immediately. Security reports may be filed anonymously; bug and functional reports require signing in.

If you must report by email, send to it.steeringcommittee@opmcm.gov.np with subject prefix [SECURITY]. PGP available on request.

Please include: a short title, clear description, steps to reproduce, the affected URL or component, your environment (browser, OS, build), and (for security) the impact you believe an attacker could achieve.

/report फारममार्फत रिपोर्ट पठाउनुहोस् — यो हाम्रो ट्रायाज लाइनमा सिधै जान्छ र ट्र्याकिङ ID तुरुन्तै दिन्छ। सुरक्षा रिपोर्ट गुमनाम पठाउन सकिन्छ; बग र कार्यगत समस्याका लागि साइन-इन आवश्यक छ।

इमेलबाट पठाउनु पर्ने भएमा: it.steeringcommittee@opmcm.gov.np विषयमा [SECURITY] उपसर्ग सहित।

संक्षिप्त शीर्षक, स्पष्ट विवरण, प्रजनन चरणहरू, प्रभावित URL वा कम्पोनेन्ट, र तपाईंको वातावरण समावेश गर्नुहोस्।

Acknowledgement within 3 business days.

Initial triage decision (accepted / duplicate / out of scope / need more info) within 7 business days.

Status updates whenever the state of your report changes.

Coordination on disclosure timing — we ask for a default 90-day private window before public disclosure for security findings; we will tell you if we need longer and why.

Public credit on our acknowledgements page if you ask for it.

३ कार्य दिनभित्र प्राप्ति सूचना।

७ कार्य दिनभित्र प्रारम्भिक ट्रायाज निर्णय।

स्थिति परिवर्तन हुँदा अपडेट।

सार्वजनिक प्रकटीकरणको समयमा समन्वय — सुरक्षा निष्कर्षका लागि ९० दिनको निजी अवधि अनुरोध गर्छौं।

अनुरोध गरेमा हाम्रो स्वीकृति पृष्ठमा सार्वजनिक श्रेय।

Don't access, modify, or destroy data that doesn't belong to you.

Don't disrupt the service for other users (no DoS, no high-rate scanning).

Don't disclose the finding publicly until we have either fixed it or 90 days have elapsed, whichever comes first.

Don't ask for payment — Devs.Nepal does not run a bug bounty programme. We offer recognition, not money.

अरूको डेटामा पहुँच, परिवर्तन वा नष्ट नगर्नुहोस्।

सेवामा बाधा नपुर्‍याउनुहोस्।

९० दिन वा फिक्स नभएसम्म सार्वजनिक प्रकटीकरण नगर्नुहोस्।

भुक्तानी नमाग्नुहोस् — देवस् नेपालमा बग बाउन्टी कार्यक्रम छैन। पैसा होइन, सम्मान दिन्छौं।

A roll of researchers who have helped harden Devs.Nepal is maintained at /security/hall-of-fame (link arrives with the next release). To opt in, tick the credit box on the report form.

देवस् नेपाललाई बलियो बनाउन सघाउनुहुने अनुसन्धानकर्ताहरूको सूची /security/hall-of-fame मा राखिनेछ।