МИН
87444ee2c8
Open-source web player for Rublox games, dual-licensed under AGPL-3.0 + Commercial. Highlights: - Babylon.js 7 + React 18 + Vite 5 stack - Self-contained engine (~46k lines): BlockManager, ModelManager, PlayerController, ScriptSandboxWorker, MultiplayerSync, 30+ GD gamemodes - Configurable backend via VITE_API_BASE and friends — works against staging (dev-api.rublox.pro) out of the box - Standalone mode (VITE_STANDALONE=true) loads a bundled sample game for first-run without any backend - Full docs: README, ARCHITECTURE, CONTRIBUTING, SECURITY, CHANGELOG - Lint + format scaffolding (ESLint + Prettier + EditorConfig) - Legal: LICENSE (AGPL-3.0), LICENSE-COMMERCIAL.md, CLA.md, COPYRIGHT.md - Issue templates: bug_report, feature_request, security_disclosure Removed before public release: - frontend_deploy.py (contained production SSH credentials) - ~27 admin endpoints (kept in private repo) - Hard-coded internal URLs and IPs - All previous git history (clean repo init)
46 lines
2.4 KiB
Markdown
46 lines
2.4 KiB
Markdown
---
|
||
name: 🔒 Уязвимость безопасности (ПРИВАТНО)
|
||
about: НЕ публикуй уязвимости здесь — пиши на security@rublox.pro
|
||
title: '[SECURITY] Не публикуй детали публично'
|
||
labels: security
|
||
assignees: ''
|
||
---
|
||
|
||
## ⚠️ СТОП
|
||
|
||
**Если ты нашёл уязвимость безопасности — НЕ публикуй детали в публичном issue.**
|
||
|
||
Уязвимости в open-source проекте могут быть использованы злоумышленниками против работающего prod-сервиса до того, как мы успеем выпустить патч.
|
||
|
||
## Куда писать
|
||
|
||
📧 Email: **security@rublox.pro** (читает только Лид)
|
||
|
||
В письме укажи:
|
||
1. Тип уязвимости (XSS, SQL-injection, RCE, IDOR, auth-bypass, etc.)
|
||
2. Шаги воспроизведения
|
||
3. Уровень воздействия (что злоумышленник может сделать)
|
||
4. Твой контакт для уточнений
|
||
5. Хочешь ли ты публичную благодарность после фикса (Hall of Fame)
|
||
|
||
## Что ты получишь в ответ
|
||
|
||
- Подтверждение получения — в течение 24 часов
|
||
- Оценка серьёзности и план исправления — в течение 3 рабочих дней
|
||
- Уведомление о выпуске патча
|
||
- Публичное упоминание в CHANGELOG (если хочешь)
|
||
- Для критических уязвимостей — символическое вознаграждение (по договорённости)
|
||
|
||
## Что НЕ считать уязвимостью
|
||
|
||
- Отсутствие rate-limit на публичных эндпоинтах документации
|
||
- Mising HSTS / CSP headers (мы знаем, работаем над этим)
|
||
- Self-XSS (требует чтобы юзер сам выполнил JS у себя в DevTools)
|
||
- Уязвимости в third-party библиотеках (репортить туда напрямую)
|
||
|
||
---
|
||
|
||
## Если ты ошибся и это НЕ безопасность
|
||
|
||
Закрой этот issue и открой новый по шаблону **🐛 Сообщить о баге** или **💡 Предложить фичу**.
|