Skip to content

Security: Michaael/aggregate-sdk

Security

SECURITY.md

Политика безопасности

Поддерживаемые версии

Мы предоставляем обновления безопасности для следующих версий:

Версия Поддерживается
1.2.x ✅ Да
1.1.x ⚠️ Только критические исправления
< 1.1 ❌ Нет

Сообщение об уязвимостях

Если вы обнаружили уязвимость безопасности, пожалуйста, НЕ создавайте публичный issue.

Вместо этого:

  1. Отправьте email на адрес: security@tibbo.com
  2. Включите следующую информацию:
    • Описание уязвимости
    • Шаги для воспроизведения
    • Возможное влияние
    • Предложения по исправлению (если есть)

Что ожидать

  • Мы ответим в течение 48 часов
  • Мы подтвердим получение отчета
  • Мы предоставим оценку серьезности в течение 7 дней
  • Мы будем информировать вас о прогрессе исправления

Процесс раскрытия информации

  1. Отчет - Вы сообщаете об уязвимости
  2. Подтверждение - Мы подтверждаем получение
  3. Оценка - Мы оцениваем серьезность
  4. Исправление - Мы разрабатываем и тестируем исправление
  5. Раскрытие - Мы публикуем информацию об исправлении

Благодарности

Мы благодарим всех, кто ответственно сообщает об уязвимостях. Имена исследователей безопасности будут опубликованы (с их согласия) после исправления уязвимости.

Лучшие практики безопасности

Для разработчиков

  1. Регулярно обновляйте зависимости

    ./gradlew dependencyUpdates
  2. Используйте актуальные версии библиотек

    • Проверяйте уязвимости через Dependabot
    • Обновляйте зависимости своевременно
  3. Проверяйте код на уязвимости

    • Используйте CodeQL для статического анализа
    • Регулярно проверяйте зависимости
  4. Не храните секреты в коде

    • Используйте переменные окружения
    • Не коммитьте пароли и ключи

Для пользователей

  1. Используйте актуальные версии SDK
  2. Регулярно обновляйте зависимости
  3. Следите за уведомлениями о безопасности
  4. Используйте сильные пароли
  5. Ограничивайте доступ к серверу

Известные уязвимости

Исправленные

Все известные уязвимости были исправлены в последних версиях.

В процессе исправления

Нет уязвимостей в процессе исправления.

Контакты


Документ обновлен: 2024-12-XX

There aren't any published security advisories