rublox/player
2
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases 1 Wiki Activity
player/.gitea/ISSUE_TEMPLATE/security_disclosure.md
МИН 87444ee2c8 Initial public release: Rublox Player v1.0 
Open-source web player for Rublox games, dual-licensed under
AGPL-3.0 + Commercial.

Highlights:
- Babylon.js 7 + React 18 + Vite 5 stack
- Self-contained engine (~46k lines): BlockManager, ModelManager,
  PlayerController, ScriptSandboxWorker, MultiplayerSync, 30+ GD
  gamemodes
- Configurable backend via VITE_API_BASE and friends — works against
  staging (dev-api.rublox.pro) out of the box
- Standalone mode (VITE_STANDALONE=true) loads a bundled sample game
  for first-run without any backend
- Full docs: README, ARCHITECTURE, CONTRIBUTING, SECURITY, CHANGELOG
- Lint + format scaffolding (ESLint + Prettier + EditorConfig)
- Legal: LICENSE (AGPL-3.0), LICENSE-COMMERCIAL.md, CLA.md, COPYRIGHT.md
- Issue templates: bug_report, feature_request, security_disclosure

Removed before public release:
- frontend_deploy.py (contained production SSH credentials)
- ~27 admin endpoints (kept in private repo)
- Hard-coded internal URLs and IPs
- All previous git history (clean repo init)
2026-05-27 23:04:04 +03:00

46 lines
2.4 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
name: 🔒 Уязвимость безопасности (ПРИВАТНО)
about: НЕ публикуй уязвимости здесь — пиши на security@rublox.pro
title: '[SECURITY] Не публикуй детали публично'
labels: security
assignees: ''
---
## ⚠️ СТОП
**Если ты нашёл уязвимость безопасности — НЕ публикуй детали в публичном issue.**
Уязвимости в open-source проекте могут быть использованы злоумышленниками против работающего prod-сервиса до того, как мы успеем выпустить патч.
## Куда писать
📧 Email: **security@rublox.pro** (читает только Лид)
В письме укажи:
1. Тип уязвимости (XSS, SQL-injection, RCE, IDOR, auth-bypass, etc.)
2. Шаги воспроизведения
3. Уровень воздействия (что злоумышленник может сделать)
4. Твой контакт для уточнений
5. Хочешь ли ты публичную благодарность после фикса (Hall of Fame)
## Что ты получишь в ответ
- Подтверждение получения — в течение 24 часов
- Оценка серьёзности и план исправления — в течение 3 рабочих дней
- Уведомление о выпуске патча
- Публичное упоминание в CHANGELOG (если хочешь)
- Для критических уязвимостей — символическое вознаграждение (по договорённости)
## Что НЕ считать уязвимостью
- Отсутствие rate-limit на публичных эндпоинтах документации
- Mising HSTS / CSP headers (мы знаем, работаем над этим)
- Self-XSS (требует чтобы юзер сам выполнил JS у себя в DevTools)
- Уязвимости в third-party библиотеках (репортить туда напрямую)
---
## Если ты ошибся и это НЕ безопасность
Закрой этот issue и открой новый по шаблону **🐛 Сообщить о баге** или **💡 Предложить фичу**.
Reference in New Issue View Git Blame Copy Permalink