---
name: 🔒 Уязвимость безопасности (ПРИВАТНО)
about: НЕ публикуй уязвимости здесь — пиши на security@rublox.pro
title: '[SECURITY] Не публикуй детали публично'
labels: security
assignees: ''
---

## ⚠️ СТОП

**Если ты нашёл уязвимость безопасности — НЕ публикуй детали в публичном issue.**

Уязвимости в open-source проекте могут быть использованы злоумышленниками против работающего prod-сервиса до того, как мы успеем выпустить патч.

## Куда писать

📧 Email: **security@rublox.pro** (читает только Лид)

В письме укажи:
1. Тип уязвимости (XSS, SQL-injection, RCE, IDOR, auth-bypass, etc.)
2. Шаги воспроизведения
3. Уровень воздействия (что злоумышленник может сделать)
4. Твой контакт для уточнений
5. Хочешь ли ты публичную благодарность после фикса (Hall of Fame)

## Что ты получишь в ответ

- Подтверждение получения — в течение 24 часов
- Оценка серьёзности и план исправления — в течение 3 рабочих дней
- Уведомление о выпуске патча
- Публичное упоминание в CHANGELOG (если хочешь)
- Для критических уязвимостей — символическое вознаграждение (по договорённости)

## Что НЕ считать уязвимостью

- Отсутствие rate-limit на публичных эндпоинтах документации
- Mising HSTS / CSP headers (мы знаем, работаем над этим)
- Self-XSS (требует чтобы юзер сам выполнил JS у себя в DevTools)
- Уязвимости в third-party библиотеках (репортить туда напрямую)

---

## Если ты ошибся и это НЕ безопасность

Закрой этот issue и открой новый по шаблону **🐛 Сообщить о баге** или **💡 Предложить фичу**.