МИН
31adbf151b
Open-source веб-студия для создания игр Рублокса, двойная лицензия AGPL-3.0 + Коммерческая. Главное: - Vite 5 + React 18 + Babylon 7.54.3 + Monaco Editor + Colyseus 0.16 - Самодостаточный движок ~28к строк (66 файлов): BlockManager, TerrainVoxelBuilder, ModelManager, DecoManager, PlayerController, ScriptSandboxWorker, MultiplayerSync, 30+ GD-гейммодов - Главный редактор KubikonEditor (~37к строк) + панели, ScriptEditor (Monaco) - Витрина игр (KubikonFeed, KubikonStudio, KubikonDocs, KubikonLearn) - Geometry Dash sub-app (GdMenu, GdShop, GdRules, GdCoverArt) - 10 admin-preview каталогов для дизайнеров (скины, музыка, порталы и т.д.) - Конфигурируемый бэкенд через VITE_API_BASE — работает со staging (dev-api.rublox.pro) без настройки - Standalone-режим (VITE_STANDALONE=true) — открыть пустой редактор без бэка - Полная документация (на русском): README, ARCHITECTURE, CONTRIBUTING, SECURITY, CHANGELOG - ESLint + Prettier + EditorConfig - Legal: LICENSE (AGPL-3.0), LICENSE-COMMERCIAL.md, CLA.md, COPYRIGHT.md - Issue templates: bug_report, feature_request, security_disclosure Перед публикацией: - Все импорты из minecraftia заменены на локальные - Все хардкоды URL (minecraftia-school.ru) и внутренних IP убраны → env - Admin-эндпоинты Kubikon3DService вырезаны (остаются в приватном репо) - AdminKubikonModeration не публикуется (модерация — в team.rublox.pro) - 93 МБ ассетов public/kubikon-assets вынесены в .gitignore (раздаются через release artifact)
46 lines
2.4 KiB
Markdown
46 lines
2.4 KiB
Markdown
---
|
||
name: 🔒 Уязвимость безопасности (ПРИВАТНО)
|
||
about: НЕ публикуй уязвимости здесь — пиши на security@rublox.pro
|
||
title: '[SECURITY] Не публикуй детали публично'
|
||
labels: security
|
||
assignees: ''
|
||
---
|
||
|
||
## ⚠️ СТОП
|
||
|
||
**Если ты нашёл уязвимость безопасности — НЕ публикуй детали в публичном issue.**
|
||
|
||
Уязвимости в open-source проекте могут быть использованы злоумышленниками против работающего prod-сервиса до того, как мы успеем выпустить патч.
|
||
|
||
## Куда писать
|
||
|
||
📧 Email: **security@rublox.pro** (читает только Лид)
|
||
|
||
В письме укажи:
|
||
1. Тип уязвимости (XSS, SQL-injection, RCE, IDOR, auth-bypass, etc.)
|
||
2. Шаги воспроизведения
|
||
3. Уровень воздействия (что злоумышленник может сделать)
|
||
4. Твой контакт для уточнений
|
||
5. Хочешь ли ты публичную благодарность после фикса (Hall of Fame)
|
||
|
||
## Что ты получишь в ответ
|
||
|
||
- Подтверждение получения — в течение 24 часов
|
||
- Оценка серьёзности и план исправления — в течение 3 рабочих дней
|
||
- Уведомление о выпуске патча
|
||
- Публичное упоминание в CHANGELOG (если хочешь)
|
||
- Для критических уязвимостей — символическое вознаграждение (по договорённости)
|
||
|
||
## Что НЕ считать уязвимостью
|
||
|
||
- Отсутствие rate-limit на публичных эндпоинтах документации
|
||
- Mising HSTS / CSP headers (мы знаем, работаем над этим)
|
||
- Self-XSS (требует чтобы юзер сам выполнил JS у себя в DevTools)
|
||
- Уязвимости в third-party библиотеках (репортить туда напрямую)
|
||
|
||
---
|
||
|
||
## Если ты ошибся и это НЕ безопасность
|
||
|
||
Закрой этот issue и открой новый по шаблону **🐛 Сообщить о баге** или **💡 Предложить фичу**.
|