Мы предоставляем обновления безопасности для следующих версий:
| Версия | Поддерживается |
|---|---|
| 1.2.x | ✅ Да |
| 1.1.x | |
| < 1.1 | ❌ Нет |
Если вы обнаружили уязвимость безопасности, пожалуйста, НЕ создавайте публичный issue.
Вместо этого:
- Отправьте email на адрес: security@tibbo.com
- Включите следующую информацию:
- Описание уязвимости
- Шаги для воспроизведения
- Возможное влияние
- Предложения по исправлению (если есть)
- Мы ответим в течение 48 часов
- Мы подтвердим получение отчета
- Мы предоставим оценку серьезности в течение 7 дней
- Мы будем информировать вас о прогрессе исправления
- Отчет - Вы сообщаете об уязвимости
- Подтверждение - Мы подтверждаем получение
- Оценка - Мы оцениваем серьезность
- Исправление - Мы разрабатываем и тестируем исправление
- Раскрытие - Мы публикуем информацию об исправлении
Мы благодарим всех, кто ответственно сообщает об уязвимостях. Имена исследователей безопасности будут опубликованы (с их согласия) после исправления уязвимости.
-
Регулярно обновляйте зависимости
./gradlew dependencyUpdates
-
Используйте актуальные версии библиотек
- Проверяйте уязвимости через Dependabot
- Обновляйте зависимости своевременно
-
Проверяйте код на уязвимости
- Используйте CodeQL для статического анализа
- Регулярно проверяйте зависимости
-
Не храните секреты в коде
- Используйте переменные окружения
- Не коммитьте пароли и ключи
- Используйте актуальные версии SDK
- Регулярно обновляйте зависимости
- Следите за уведомлениями о безопасности
- Используйте сильные пароли
- Ограничивайте доступ к серверу
Все известные уязвимости были исправлены в последних версиях.
Нет уязвимостей в процессе исправления.
- Email безопасности: security@tibbo.com
- Общие вопросы: support@tibbo.com
Документ обновлен: 2024-12-XX