Мы ценим вклад исследователей безопасности и будем благодарны за ответственное сообщение о проблемах. 🤝
- Не публикуйте информацию публично до исправления.
- Отправьте детали на:
denioberlev@gmail.com(или через Issues с тегомSECURITY). - Укажите в теме: "Уязвимость в {названии сервиса/модуля}".
- Опишите:
- Шаги для воспроизведения
- Ожидаемое и фактическое поведение
- Версию системы (если применимо)
Мы ответим в течение ⏳ 72 часов и постараемся исправить проблему в кратчайшие сроки. 🚀
- Рассмотрим ваш отчет в приоритетном порядке
- Упомянем ваш вклад в разделе "Благодарности" (если вы не против)
- Сообщим о прогрессе в исправлении
| Версия | Статус поддержки |
|---|---|
| 1.x | ✅ Полная |
| 0.x |
- 🔄 Регулярное обновление зависимостей (
npm audit,dependabot) - 👀 Обязательный code review для изменений
- 🔍 Статический анализ кода (
sonarqube,snyk)
- Rate limiting (60 запросов/минута)
- Обязательная аутентификация для sensitive endpoints
- Хеширование чувствительных данных (bcrypt)
Список исследователей, которые помогли улучшить безопасность:
- 🎯 Зайцева Варвара — IDOR (2025)
- 🎯 Кожокару Владислав — XSS (2025)
- 🎯 Кузнецов Вячеслав — Небезопасная десериализация (2025)
- 🎯 Прытков Даниил — SQL-инъекция (2025)
- Ответственный: Daniil Oberlev
- Telegram: @OberlevD
- Email: denioberlev@gmail.com