Прочесть на других языках: English, Русский.
Этот документ описывает политику безопасности и процедуру обработки сообщений об узывимостях.
- Сообщения об уязвимостях принимаются на электронную почту [email protected].
Любой ISSUE или PR с уведомлением об уязвимости будет немедленно удален в целях безопасности. - В заголовке письма укажите, что ваш запрос относиться к безопасности. Например используйте слова
БезопасностьилиУязвимость - В письме подробно укажите всю необходимую информацию. Как использовать, упоминания уязвимости в других источниках и т.д.
- В адресе отправителя используйте только существующий email, для получение уведомлений о ходе обработки запроса.
- После получения и проверки запроса вам будет отправлено уведомление о результате проверки.
- Если наличие уязвимости будет подтверждено в уведомлении будет указан приоритет, а так же возможные сроки исправления.
- После устранения уязвимости вам будут сообщено о завершении рассмотрения.
- Срок выхода исправленной версии с исправлениями зависит от приоритета уязвимости.
- О проверенных уязвимостях будет только публично объявлено ПОСЛЕ выпуска релиза, который устраняет уязвимость.
- Все объявления будут содержать как можно больше информации, но НЕ будут содержать пошаговых инструкций по использованию уязвимости.
- По вашему желанию, мы можем упомянуть вас в обновлении, как лицо нашедшее уязвимость. В упоминании может быть использован адрес электронной почты, полное имя или псевдоним на ваш выбор.