Skip to content

Latest commit

 

History

History
30 lines (23 loc) · 1.88 KB

File metadata and controls

30 lines (23 loc) · 1.88 KB

Политика безопасности

Поддерживаемые версии

Исправления безопасности выпускаются для актуальной ветки main и последнего релиза.

Версия Поддержка
1.x
< 1.0

Сообщение об уязвимости

Не открывайте публичные Issue по уязвимостям.

Сообщите приватно:

  • E-mail: buzin.victor@gmail.com
  • либо через приватный механизм Security Advisories в репозитории GitHub.

Пожалуйста, укажите:

  • описание уязвимости и потенциальное воздействие;
  • шаги воспроизведения / proof-of-concept;
  • затронутые версии.

Мы постараемся подтвердить получение в течение 72 часов и держать вас в курсе исправления.

Рекомендации по безопасной эксплуатации

  • Не коммитьте секреты. API-ключи (YandexGPT, Ollama Cloud, Telegram, WebApi:ApiKey) храните в переменных окружения с префиксом HERCULES_ или в локальных файлах, исключённых .gitignore.
  • Меняйте ключ Web API (WebApi:ApiKey) — значение по умолчанию dev-local-key предназначено только для локальной разработки.
  • Ограничивайте CORS (WebApi:AllowedCorsOrigins) доверенными источниками в продакшене.
  • Не публикуйте каталог data/ — он содержит профиль пользователя, навыки и логи сессий.