Skip to content

Security: techbuzzz/Hercules

Security

SECURITY.md

Политика безопасности

Поддерживаемые версии

Исправления безопасности выпускаются для актуальной ветки main и последнего релиза.

Версия Поддержка
1.x
< 1.0

Сообщение об уязвимости

Не открывайте публичные Issue по уязвимостям.

Сообщите приватно:

  • E-mail: buzin.victor@gmail.com
  • либо через приватный механизм Security Advisories в репозитории GitHub.

Пожалуйста, укажите:

  • описание уязвимости и потенциальное воздействие;
  • шаги воспроизведения / proof-of-concept;
  • затронутые версии.

Мы постараемся подтвердить получение в течение 72 часов и держать вас в курсе исправления.

Рекомендации по безопасной эксплуатации

  • Не коммитьте секреты. API-ключи (YandexGPT, Ollama Cloud, Telegram, WebApi:ApiKey) храните в переменных окружения с префиксом HERCULES_ или в локальных файлах, исключённых .gitignore.
  • Меняйте ключ Web API (WebApi:ApiKey) — значение по умолчанию dev-local-key предназначено только для локальной разработки.
  • Ограничивайте CORS (WebApi:AllowedCorsOrigins) доверенными источниками в продакшене.
  • Не публикуйте каталог data/ — он содержит профиль пользователя, навыки и логи сессий.

There aren't any published security advisories