Данный репозиторий представляет собой открытый каталог сервисов и не является программным продуктом, предоставляющим исполняемый код или продакшн-инфраструктуру.
Тем не менее, мы серьёзно относимся к вопросам безопасности и приветствуем ответственное сообщение о потенциальных проблемах.
Мы рассматриваем как вопросы безопасности, в частности:
- наличие в репозитории вредоносного кода;
- ссылки на сервисы или ресурсы, содержащие вредоносное ПО;
- попытки скрытого внедрения вредоносных изменений через pull requests;
- утечки чувствительной информации (ключи, токены, пароли), добавленные по ошибке;
- иные уязвимости, которые могут нанести вред пользователям каталога.
К вопросам безопасности не относятся:
- уязвимости или ошибки в самих сторонних сервисах, перечисленных в каталоге;
- споры о функциональности, качестве или надёжности сервисов;
- вопросы лицензирования или прав интеллектуальной собственности;
- запросы на добавление или удаление сервисов из каталога.
Такие вопросы следует обсуждать через issues или pull requests.
Если вы обнаружили потенциальную проблему безопасности:
- Не публикуйте детали проблемы публично в issues или pull requests.
- Сообщите о проблеме мейнтейнерам проекта через приватный канал связи (например, электронную почту, если доступно).
- По возможности опишите:
- суть проблемы;
- где она была обнаружена;
- потенциальные последствия;
- шаги для воспроизведения (если применимо).
Мы постараемся отреагировать и оценить сообщение в разумные сроки.
После получения сообщения:
- мейнтейнеры проведут первичную оценку;
- при необходимости примут меры по удалению или исправлению проблемного контента;
- при подтверждении проблемы могут выпустить соответствующее уведомление или обновление репозитория.
Сроки реакции и исправления зависят от характера и серьёзности проблемы.
Мы придерживаемся принципов ответственного раскрытия информации о безопасности. Пожалуйста, дайте мейнтейнерам разумное время для анализа и устранения проблемы до её публичного раскрытия.
Каталог предоставляется «как есть».
Мейнтейнеры проекта не несут ответственности за использование сторонних сервисов,
упомянутых в каталоге, и за возможные последствия такого использования.
Мы благодарим всех, кто помогает делать каталог безопаснее. Ответственное отношение к безопасности помогает защищать пользователей и сообщество.