Skip to content

Security: network-user/DotMathBot

Security

SECURITY.md

Политика безопасности

Этот документ описывает, как сообщить об уязвимости в DotMathBot.

Поддерживаемые версии

Проект развивается одной линией - актуальное состояние ветки main. Исправления безопасности выходят только для неё, отдельных поддерживаемых релизных веток нет.

Версия Поддержка
main (HEAD) да
прочие коммиты нет

Как сообщить об уязвимости

Сообщайте об уязвимостях приватно, через GitHub Security Advisories:

  1. Откройте вкладку Security репозитория → Report a vulnerability (прямая ссылка: https://github.com/network-user/DotMathBot/security/advisories/new).
  2. Опишите проблему как можно конкретнее.

Пожалуйста, не открывайте публичные issue для уязвимостей и не раскрывайте детали публично до выпуска исправления.

По возможности включите в отчёт:

  • тип уязвимости и затронутый компонент (файл/модуль);
  • шаги воспроизведения или PoC;
  • коммит или версию, на которой воспроизводится;
  • предполагаемое влияние (impact).

Чего ожидать

  • Подтверждение получения отчёта в разумный срок.
  • Оценку и, при подтверждении, исправление с координированным раскрытием.
  • Упоминание автора отчёта в благодарностях - по желанию.

Жёстких SLA нет: проект развивается силами автора, но к отчётам о безопасности отношение приоритетное.

Область

В области (scope):

  • код этого репозитория - бот, сервисы, миграции, конфигурация запуска.

Вне области (out of scope):

  • инфраструктура и API Telegram;
  • уязвимости в сторонних зависимостях - сообщайте их апстриму (здесь отчёт уместен, только если репозиторий использует зависимость небезопасно);
  • атаки, требующие физического доступа к серверу или уже скомпрометированных учётных данных администратора.

Тестирование

Исходный код открыт только для ознакомления (см. LICENSE). Не проводите активное или нагрузочное тестирование против чужих работающих инстансов бота без явного разрешения их владельцев - проверяйте только на собственном развёртывании.

There aren't any published security advisories