rublox/player
2
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases 1 Wiki Activity
player/.gitea/ISSUE_TEMPLATE/security_disclosure.md
МИН 87444ee2c8 Initial public release: Rublox Player v1.0 
Open-source web player for Rublox games, dual-licensed under
AGPL-3.0 + Commercial.

Highlights:
- Babylon.js 7 + React 18 + Vite 5 stack
- Self-contained engine (~46k lines): BlockManager, ModelManager,
  PlayerController, ScriptSandboxWorker, MultiplayerSync, 30+ GD
  gamemodes
- Configurable backend via VITE_API_BASE and friends — works against
  staging (dev-api.rublox.pro) out of the box
- Standalone mode (VITE_STANDALONE=true) loads a bundled sample game
  for first-run without any backend
- Full docs: README, ARCHITECTURE, CONTRIBUTING, SECURITY, CHANGELOG
- Lint + format scaffolding (ESLint + Prettier + EditorConfig)
- Legal: LICENSE (AGPL-3.0), LICENSE-COMMERCIAL.md, CLA.md, COPYRIGHT.md
- Issue templates: bug_report, feature_request, security_disclosure

Removed before public release:
- frontend_deploy.py (contained production SSH credentials)
- ~27 admin endpoints (kept in private repo)
- Hard-coded internal URLs and IPs
- All previous git history (clean repo init)
2026-05-27 23:04:04 +03:00

2.4 KiB
Raw Permalink Blame History

name about title labels assignees
🔒 Уязвимость безопасности (ПРИВАТНО) НЕ публикуй уязвимости здесь — пиши на security@rublox.pro [SECURITY] Не публикуй детали публично security

⚠️ СТОП

Если ты нашёл уязвимость безопасности — НЕ публикуй детали в публичном issue.

Уязвимости в open-source проекте могут быть использованы злоумышленниками против работающего prod-сервиса до того, как мы успеем выпустить патч.

Куда писать

📧 Email: security@rublox.pro (читает только Лид)

В письме укажи:

  1. Тип уязвимости (XSS, SQL-injection, RCE, IDOR, auth-bypass, etc.)
  2. Шаги воспроизведения
  3. Уровень воздействия (что злоумышленник может сделать)
  4. Твой контакт для уточнений
  5. Хочешь ли ты публичную благодарность после фикса (Hall of Fame)

Что ты получишь в ответ

  • Подтверждение получения — в течение 24 часов
  • Оценка серьёзности и план исправления — в течение 3 рабочих дней
  • Уведомление о выпуске патча
  • Публичное упоминание в CHANGELOG (если хочешь)
  • Для критических уязвимостей — символическое вознаграждение (по договорённости)

Что НЕ считать уязвимостью

  • Отсутствие rate-limit на публичных эндпоинтах документации
  • Mising HSTS / CSP headers (мы знаем, работаем над этим)
  • Self-XSS (требует чтобы юзер сам выполнил JS у себя в DevTools)
  • Уязвимости в third-party библиотеках (репортить туда напрямую)

Если ты ошибся и это НЕ безопасность

Закрой этот issue и открой новый по шаблону 🐛 Сообщить о баге или 💡 Предложить фичу.