Исправления безопасности выпускаются для актуальной ветки main и последнего релиза.
| Версия | Поддержка |
|---|---|
| 1.x | ✅ |
| < 1.0 | ❌ |
Не открывайте публичные Issue по уязвимостям.
Сообщите приватно:
- E-mail:
buzin.victor@gmail.com - либо через приватный механизм Security Advisories в репозитории GitHub.
Пожалуйста, укажите:
- описание уязвимости и потенциальное воздействие;
- шаги воспроизведения / proof-of-concept;
- затронутые версии.
Мы постараемся подтвердить получение в течение 72 часов и держать вас в курсе исправления.
- Не коммитьте секреты. API-ключи (YandexGPT, Ollama Cloud, Telegram,
WebApi:ApiKey) храните в переменных окружения с префиксомHERCULES_или в локальных файлах, исключённых.gitignore. - Меняйте ключ Web API (
WebApi:ApiKey) — значение по умолчаниюdev-local-keyпредназначено только для локальной разработки. - Ограничивайте CORS (
WebApi:AllowedCorsOrigins) доверенными источниками в продакшене. - Не публикуйте каталог
data/— он содержит профиль пользователя, навыки и логи сессий.