Security

Как сообщить об уязвимости

Отправьте детали на nacosof@gmail.com.

• Опишите влияние (impact) и затронутые компоненты/эндпоинты.
• Добавьте шаги для воспроизведения (без вреда и без попыток ломать данные).
• Proof-of-concept — только если это безопасно и ответственно.
• Не публикуйте детали до согласования и выпуска исправления/плана.
• Не пытайтесь обходить ограничения доступа намеренно.

Вопросы

Если не уверены, что ваш кейс подходит под ответственное сообщение — просто напишите письмо.

Ожидания по срокам

• Мы постараемся ответить в течение 48 часов после получения сообщения.
• Публичное раскрытие обычно согласуется после исправления.
• Если исправление невозможно сразу — договоримся о разумном плане и сроках.

В чем мы НЕ просим

• Атаковать сервис (DDoS, массовые запросы, повреждение данных).
• Запрашивать доступ к приватным данным без разрешения.
• Устраивать автоматизированные “сканирования ради сканирования” без цели.

Safe harbor (реталиация)

Если вы добросовестно сообщаете о проблеме безопасности в рамках этой политики и не причиняете вреда, мы не будем предпринимать действия против вас за сам факт отчёта. Мы можем попросить вас уточнить детали или ограничить действия до выпуска исправления.