Skip to content

Security: JeyDim/CorgiTrack

Security

SECURITY.md

Политика безопасности

Поддерживаемые версии

Исправления безопасности выпускаются для последнего релиза. Используйте свежую версию сервера и десктоп-клиента.

Версия Поддержка
Последний релиз
Более старые

Как сообщить об уязвимости

Пожалуйста, не создавайте публичный issue для уязвимостей.

Сообщите приватно одним из способов:

По возможности приложите:

  • описание проблемы и потенциальное влияние;
  • шаги для воспроизведения или proof-of-concept;
  • затронутые версии/компоненты (сервер, бот, десктоп).

Мы постараемся ответить в течение нескольких дней, согласовать сроки исправления и раскрытия, и упомянуть вас в благодарностях (если захотите).

На что обратить внимание

CorgiTrack работает с чувствительными данными — берегите их и при отчётах не публикуйте:

  • SERVICE_TOKEN — Bearer-токен для /api/v1/**;
  • TELEGRAM_BOT_TOKEN — токен Telegram-бота;
  • calendar_token / ключи доз из ссылок iCal;
  • строку подключения DATABASE_URL и приватный ключ подписи апдейтера (TAURI_SIGNING_PRIVATE_KEY).

Эти значения хранятся в .env и в секретах GitHub Actions и не должны попадать в репозиторий, логи или скриншоты.

There aren't any published security advisories