OculiX tourne entièrement sur votre machine. Rien ne phone home, aucune télémétrie n’est envoyée, aucun analytique, aucun appel de mise à jour automatique. Cette page documente la posture sécurité du projet pour les organisations qui doivent évaluer OculiX avant déploiement en environnement régulé.
Politique de divulgation de vulnérabilités
Pour tout ce qui est sensible — bypass d’auth, RCE, fuite de credentials, supply chain — n’ouvrez pas d’issue publique. Utilisez le signalement privé de vulnérabilité de GitHub.
Délais de réponse :
Politique complète dans SECURITY.md.
Licence MIT, pour toujours
Le cœur OculiX est sous licence MIT. La licence est irrévocable. Il n’existe pas de version d’OculiX où le cœur devient propriétaire. Chaque ligne expédiée est dans le repo public, auditable, forkable, signable par vous.
Journal d'audit MCP
Le module serveur MCP optionnel écrit un journal d’audit JSONL signé Ed25519 et chaîné SHA-256 — conçu pour les environnements où chaque action automatisée doit être infalsifiable de bout en bout. Chaque entrée référence le hash de la précédente, donc la modification rétroactive d’un enregistrement invalide toutes les signatures suivantes.
Le plus souvent cité par les utilisateurs en défense, banque, santé.
Nous sommes en plein milieu d’une passe de hardening sécurité. Ces artefacts arrivent dans le cycle v3.0.x / v3.1.x et apparaîtront ici dès qu’ils seront publiés.
| Standard | Artefact | Statut |
|---|---|---|
 | SBOM attaché à chaque release |  |
 | Scan CVE continu en CI | |
 | Score sécurité public, critères standards | |
 | Couverture des pratiques standards auto-attestée | |
 | Mapping du standard de vérification sécurité applicative |  |
Chaque artefact sera lié ici une fois publié, avec une URL directe que vous pouvez référencer dans votre dossier achats.
Ce ne sont pas des fonctionnalités qu’on met en avant — ce sont les conséquences de la façon dont OculiX est construit.
Pas de dépendance cloud
L’IDE, la bibliothèque API, le runner de scripts marchent tous complètement offline. Le seul accès réseau est ce que votre script demande explicitement.
Pas de télémétrie
On ne collecte aucune donnée d’usage, aucun rapport d’erreur, aucune métrique de performance, rien. Si vous activez les vérifications de mise à jour, OculiX interroge GitHub Releases pour une nouvelle version — c’est le seul appel sortant, et il est opt-in.
Pas d'auto-update
Les mises à jour arrivent quand vous téléchargez explicitement une nouvelle release. Pas de patchs silencieux. Ce qu’on livre est ce qui s’exécute, jusqu’à ce que vous en décidiez autrement.
Source-available partout
Chaque ligne qui tourne est dans le repo public. Vous pouvez l’auditer, la forker, la builder depuis les sources, signer vos propres builds.
OculiX a été déployé par des organisations en secteurs régulés — banque, défense, santé, gouvernement — principalement parce qu’il tourne on-premises sans appel tiers. Le projet lui-même n’est pas certifié (SOC 2, HIPAA, FedRAMP), mais son architecture facilite son intégration dans un environnement certifié que vous contrôlez déjà.
Arrangements courants qu’on a vus avec les utilisateurs régulés :
Déploiement air-gap
Build depuis les sources sur votre propre infrastructure, miroir des artefacts en interne, pas besoin d’internet après le build initial. L’architecture supporte ça d’office.
Builds reproductibles
Les artefacts Maven sur Central sont produits par le même workflow que les releases GitHub — vous pouvez vérifier en relançant le workflow sur votre propre infra.
Fenêtre de divulgation sur mesure
Si vous trouvez un problème de sécurité et avez besoin d’une fenêtre de divulgation coordonnée plus longue que les 90 jours par défaut pour patcher en interne, on l’honore.
Walkthrough CISO
Un walkthrough du chemin de code des modules pertinents avec votre équipe sécurité, planifié par email. Pas formalisé, mais arrivé plusieurs fois.
Pour des packs de documentation au niveau procurement (lettres d’indemnisation, énoncés d’architecture sécurité écrits, visites guidées du log d’audit), écrivez à [email protected].
