|
| 1 | +# Security Policy |
| 2 | + |
| 3 | +## Supported Versions |
| 4 | + |
| 5 | +Текущие поддерживаемые версии проекта с исправлениями безопасности: |
| 6 | + |
| 7 | +| Version | Supported | |
| 8 | +| ------- | ------------------ | |
| 9 | +| 1.0.x | :white_check_mark: | |
| 10 | +| < 1.0 | :x: | |
| 11 | + |
| 12 | +## Reporting a Vulnerability |
| 13 | + |
| 14 | +Если вы обнаружили уязвимость в системе безопасности, пожалуйста, свяжитесь со мной напрямую **вместо создания публичного issue**. |
| 15 | + |
| 16 | +### Процедура сообщения |
| 17 | + |
| 18 | +1. **Email:** Отправьте описание уязвимости на [ваш email] |
| 19 | +2. **Содержимое отчёта:** |
| 20 | + - Описание уязвимости |
| 21 | + - Шаги для воспроизведения |
| 22 | + - Потенциальное влияние |
| 23 | + - Предложения по исправлению (если есть) |
| 24 | + |
| 25 | +### Что ожидать |
| 26 | + |
| 27 | +- **Подтверждение получения:** в течение 48 часов |
| 28 | +- **Первичная оценка:** в течение 5 рабочих дней |
| 29 | +- **Исправление критических уязвимостей:** в течение 14 дней |
| 30 | +- **Публичное раскрытие:** после выпуска патча |
| 31 | + |
| 32 | +### Scope |
| 33 | + |
| 34 | +Проект фокусируется на инфраструктурных компонентах для OAuth2 интеграции: |
| 35 | + |
| 36 | +**В зоне ответственности:** |
| 37 | +- Скрипты обновления токенов (token refresh flow) |
| 38 | +- Конфигурация nginx (reverse proxy) |
| 39 | +- Systemd timer безопасность |
| 40 | +- Утечки секретов в логах |
| 41 | + |
| 42 | +**Вне зоны ответственности:** |
| 43 | +- Уязвимости в HeadHunter API |
| 44 | +- Проблемы с сторонними зависимостями (nginx, bash, systemd) |
| 45 | +- Social engineering |
| 46 | + |
| 47 | +### Security Best Practices |
| 48 | + |
| 49 | +При использовании проекта: |
| 50 | + |
| 51 | +1. **Секреты и токены:** |
| 52 | + - Храните `.env` файлы за пределами репозитория |
| 53 | + - Используйте `chmod 600` для файлов с секретами |
| 54 | + - Регулярно ротируйте токены |
| 55 | + |
| 56 | +2. **Права доступа:** |
| 57 | + - Запускайте systemd timers от непривилегированного пользователя |
| 58 | + - Ограничьте доступ к `/var/lib/hh-token/` |
| 59 | + |
| 60 | +3. **Обновления:** |
| 61 | + - Следите за релизами в репозитории |
| 62 | + - Подпишитесь на GitHub Security Advisories |
| 63 | + |
| 64 | +### Благодарности |
| 65 | + |
| 66 | +Исследователи безопасности, сообщившие о критических уязвимостях, будут упомянуты в CHANGELOG (с их согласия). |
| 67 | + |
| 68 | +--- |
| 69 | + |
| 70 | +**Примечание:** Этот проект содержит только инфраструктурные компоненты. Основное приложение находится в отдельном приватном репозитории. |
0 commit comments