rublox/studio
2
0
Fork 0
Code Issues Pull Requests 2 Actions Packages Projects Releases 1 Wiki Activity
studio/.gitea/ISSUE_TEMPLATE/security_disclosure.md
МИН 31adbf151b Initial public release: Студия Рублокса v1.0 
Open-source веб-студия для создания игр Рублокса, двойная лицензия
AGPL-3.0 + Коммерческая.

Главное:
- Vite 5 + React 18 + Babylon 7.54.3 + Monaco Editor + Colyseus 0.16
- Самодостаточный движок ~28к строк (66 файлов): BlockManager,
  TerrainVoxelBuilder, ModelManager, DecoManager, PlayerController,
  ScriptSandboxWorker, MultiplayerSync, 30+ GD-гейммодов
- Главный редактор KubikonEditor (~37к строк) + панели, ScriptEditor (Monaco)
- Витрина игр (KubikonFeed, KubikonStudio, KubikonDocs, KubikonLearn)
- Geometry Dash sub-app (GdMenu, GdShop, GdRules, GdCoverArt)
- 10 admin-preview каталогов для дизайнеров (скины, музыка, порталы и т.д.)
- Конфигурируемый бэкенд через VITE_API_BASE — работает со staging
  (dev-api.rublox.pro) без настройки
- Standalone-режим (VITE_STANDALONE=true) — открыть пустой редактор без бэка
- Полная документация (на русском): README, ARCHITECTURE, CONTRIBUTING,
  SECURITY, CHANGELOG
- ESLint + Prettier + EditorConfig
- Legal: LICENSE (AGPL-3.0), LICENSE-COMMERCIAL.md, CLA.md, COPYRIGHT.md
- Issue templates: bug_report, feature_request, security_disclosure

Перед публикацией:
- Все импорты из minecraftia заменены на локальные
- Все хардкоды URL (minecraftia-school.ru) и внутренних IP убраны → env
- Admin-эндпоинты Kubikon3DService вырезаны (остаются в приватном репо)
- AdminKubikonModeration не публикуется (модерация — в team.rublox.pro)
- 93 МБ ассетов public/kubikon-assets вынесены в .gitignore
  (раздаются через release artifact)
2026-05-27 23:41:10 +03:00

2.4 KiB
Raw Blame History

name about title labels assignees
🔒 Уязвимость безопасности (ПРИВАТНО) НЕ публикуй уязвимости здесь — пиши на security@rublox.pro [SECURITY] Не публикуй детали публично security

⚠️ СТОП

Если ты нашёл уязвимость безопасности — НЕ публикуй детали в публичном issue.

Уязвимости в open-source проекте могут быть использованы злоумышленниками против работающего prod-сервиса до того, как мы успеем выпустить патч.

Куда писать

📧 Email: security@rublox.pro (читает только Лид)

В письме укажи:

  1. Тип уязвимости (XSS, SQL-injection, RCE, IDOR, auth-bypass, etc.)
  2. Шаги воспроизведения
  3. Уровень воздействия (что злоумышленник может сделать)
  4. Твой контакт для уточнений
  5. Хочешь ли ты публичную благодарность после фикса (Hall of Fame)

Что ты получишь в ответ

  • Подтверждение получения — в течение 24 часов
  • Оценка серьёзности и план исправления — в течение 3 рабочих дней
  • Уведомление о выпуске патча
  • Публичное упоминание в CHANGELOG (если хочешь)
  • Для критических уязвимостей — символическое вознаграждение (по договорённости)

Что НЕ считать уязвимостью

  • Отсутствие rate-limit на публичных эндпоинтах документации
  • Mising HSTS / CSP headers (мы знаем, работаем над этим)
  • Self-XSS (требует чтобы юзер сам выполнил JS у себя в DevTools)
  • Уязвимости в third-party библиотеках (репортить туда напрямую)

Если ты ошибся и это НЕ безопасность

Закрой этот issue и открой новый по шаблону 🐛 Сообщить о баге или 💡 Предложить фичу.