Мы поддерживаем только актуальные версии бота и обновляем их по мере необходимости:

Если вы нашли уязвимость или подозрительное поведение:

1. Не публикуйте её в открытых каналах.
2. Отправьте детальное описание проблемы на почту разработчика или в приватный чат.
3. В описании укажите:
   • Версию бота и окружение (Python, ОС, Docker и т.д.)
   • Шаги для воспроизведения
   • Ожидаемое и фактическое поведение
   • Логи или скриншоты, если возможно

• Никогда не коммитьте BOT_TOKEN, GEMINI_API_KEY и другие секреты в репозиторий.
• Используйте .env файл для хранения конфигурации.
• Для продакшена применяйте переменные окружения (ENV variables).
• Периодически меняйте ключи и токены.

• История сообщений хранится в зашифрованной базе данных.
• Логи, содержащие личные данные, автоматически очищаются каждые X дней.
• Доступ к админ-командам ограничен по ID пользователей.
• Все запросы между ботом и Django API передаются по HTTPS.

• Лимиты на количество запросов в минуту для каждого пользователя.
• Автоматическая блокировка при спаме или DDoS-активности.
• Фильтрация запрещённого контента перед отправкой в AI-модель.
• Ограничение размера загружаемых файлов.

• Патчи безопасности выпускаются как можно скорее после обнаружения уязвимости.
• Рекомендуется всегда использовать последнюю версию.
• Обновляйте зависимости командой:

pip install --upgrade -r requirements.txt