Skip to content

Security: muz-toxa/ru-services

Security

SECURITY.md

Политика безопасности

Поддержка безопасности

Данный репозиторий представляет собой открытый каталог сервисов и не является программным продуктом, предоставляющим исполняемый код или продакшн-инфраструктуру.

Тем не менее, мы серьёзно относимся к вопросам безопасности и приветствуем ответственное сообщение о потенциальных проблемах.


Что считается проблемой безопасности

Мы рассматриваем как вопросы безопасности, в частности:

  • наличие в репозитории вредоносного кода;
  • ссылки на сервисы или ресурсы, содержащие вредоносное ПО;
  • попытки скрытого внедрения вредоносных изменений через pull requests;
  • утечки чувствительной информации (ключи, токены, пароли), добавленные по ошибке;
  • иные уязвимости, которые могут нанести вред пользователям каталога.

Что не считается проблемой безопасности

К вопросам безопасности не относятся:

  • уязвимости или ошибки в самих сторонних сервисах, перечисленных в каталоге;
  • споры о функциональности, качестве или надёжности сервисов;
  • вопросы лицензирования или прав интеллектуальной собственности;
  • запросы на добавление или удаление сервисов из каталога.

Такие вопросы следует обсуждать через issues или pull requests.


Как сообщить о проблеме безопасности

Если вы обнаружили потенциальную проблему безопасности:

  1. Не публикуйте детали проблемы публично в issues или pull requests.
  2. Сообщите о проблеме мейнтейнерам проекта через приватный канал связи (например, электронную почту, если доступно).
  3. По возможности опишите:
    • суть проблемы;
    • где она была обнаружена;
    • потенциальные последствия;
    • шаги для воспроизведения (если применимо).

Мы постараемся отреагировать и оценить сообщение в разумные сроки.


Процесс рассмотрения

После получения сообщения:

  • мейнтейнеры проведут первичную оценку;
  • при необходимости примут меры по удалению или исправлению проблемного контента;
  • при подтверждении проблемы могут выпустить соответствующее уведомление или обновление репозитория.

Сроки реакции и исправления зависят от характера и серьёзности проблемы.


Ответственное раскрытие

Мы придерживаемся принципов ответственного раскрытия информации о безопасности. Пожалуйста, дайте мейнтейнерам разумное время для анализа и устранения проблемы до её публичного раскрытия.


Отказ от гарантий

Каталог предоставляется «как есть».
Мейнтейнеры проекта не несут ответственности за использование сторонних сервисов, упомянутых в каталоге, и за возможные последствия такого использования.


Заключение

Мы благодарим всех, кто помогает делать каталог безопаснее. Ответственное отношение к безопасности помогает защищать пользователей и сообщество.

There aren't any published security advisories