Этот документ описывает, как сообщить об уязвимости в DotMathBot.
Проект развивается одной линией - актуальное состояние ветки main. Исправления безопасности выходят только для неё, отдельных поддерживаемых релизных веток нет.
| Версия | Поддержка |
|---|---|
main (HEAD) |
да |
| прочие коммиты | нет |
Сообщайте об уязвимостях приватно, через GitHub Security Advisories:
- Откройте вкладку Security репозитория → Report a vulnerability (прямая ссылка: https://github.com/network-user/DotMathBot/security/advisories/new).
- Опишите проблему как можно конкретнее.
Пожалуйста, не открывайте публичные issue для уязвимостей и не раскрывайте детали публично до выпуска исправления.
По возможности включите в отчёт:
- тип уязвимости и затронутый компонент (файл/модуль);
- шаги воспроизведения или PoC;
- коммит или версию, на которой воспроизводится;
- предполагаемое влияние (impact).
- Подтверждение получения отчёта в разумный срок.
- Оценку и, при подтверждении, исправление с координированным раскрытием.
- Упоминание автора отчёта в благодарностях - по желанию.
Жёстких SLA нет: проект развивается силами автора, но к отчётам о безопасности отношение приоритетное.
В области (scope):
- код этого репозитория - бот, сервисы, миграции, конфигурация запуска.
Вне области (out of scope):
- инфраструктура и API Telegram;
- уязвимости в сторонних зависимостях - сообщайте их апстриму (здесь отчёт уместен, только если репозиторий использует зависимость небезопасно);
- атаки, требующие физического доступа к серверу или уже скомпрометированных учётных данных администратора.
Исходный код открыт только для ознакомления (см. LICENSE). Не проводите активное или нагрузочное тестирование против чужих работающих инстансов бота без явного разрешения их владельцев - проверяйте только на собственном развёртывании.