Исправления безопасности выпускаются для последнего релиза. Используйте свежую версию сервера и десктоп-клиента.
| Версия | Поддержка |
|---|---|
| Последний релиз | ✅ |
| Более старые | ❌ |
Пожалуйста, не создавайте публичный issue для уязвимостей.
Сообщите приватно одним из способов:
- через GitHub Security Advisories (вкладка Security → Report a vulnerability), или
- письмом на sergeynovik73@gmail.com с темой
[CorgiTrack security].
По возможности приложите:
- описание проблемы и потенциальное влияние;
- шаги для воспроизведения или proof-of-concept;
- затронутые версии/компоненты (сервер, бот, десктоп).
Мы постараемся ответить в течение нескольких дней, согласовать сроки исправления и раскрытия, и упомянуть вас в благодарностях (если захотите).
CorgiTrack работает с чувствительными данными — берегите их и при отчётах не публикуйте:
SERVICE_TOKEN— Bearer-токен для/api/v1/**;TELEGRAM_BOT_TOKEN— токен Telegram-бота;calendar_token/ ключи доз из ссылок iCal;- строку подключения
DATABASE_URLи приватный ключ подписи апдейтера (TAURI_SIGNING_PRIVATE_KEY).
Эти значения хранятся в .env и в секретах GitHub Actions и не должны попадать в
репозиторий, логи или скриншоты.