Политика ответственного раскрытия уязвимостей
Платформа Kom-Eye ценит работу исследователей безопасности. Эта политика описывает, как сообщить об уязвимости и какую правовую защиту (safe harbour) мы предоставляем добросовестным исследователям.
Что в scope
- Веб-приложение https://kom-eye.kz и поддомены
- Backend API https://kom-eye.kz/api/*
- Telegram-бот @kom_eye_bot (функциональность бота)
- Email-аутентификация (SPF/DKIM/DMARC) доменов *.kom-eye.kz
- Web Push (VAPID) подписка / payload
- Уязвимости в опубликованных зависимостях, проявляющиеся в нашем deployment'е
Что вне scope
- DoS / DDoS / volumetric атаки
- Социальная инженерия (фишинг, звонки, физический доступ)
- Уязвимости, требующие физического доступа к серверу
- Сторонние сервисы (Yandex SMTP, Telegram, GitHub Actions)
- Отчёты автосканеров без ручной верификации и PoC
Safe Harbour (правовая защита)
Если вы действуете в соответствии с этой политикой, мы не будем подавать на вас иск и подтвердим авторизованность вашего исследования при запросе третьих сторон. Это распространяется только на действия в рамках scope и правил ниже.
Правила
- Сообщайте сразу же, как нашли уязвимость; не эксплуатируйте дольше необходимого
- Не извлекайте данные других пользователей
- Не модифицируйте и не удаляйте чужие данные в проде
- Не публикуйте детали до окончания процесса (см. SLA)
- Не используйте автоматизированные сканеры на проде без согласования
Как сообщить
Основной канал: security@kom-eye.kz
Резервный канал: shaken.shaku@yandex.kz
Что приложить: описание + PoC (curl / скриншот / минимальный код), оценка severity, контакт для связи, согласие на упоминание в Hall of Fame.
Наши обязательства (SLA)
- Подтверждение получения отчёта — 3 рабочих дня
- Initial triage + классификация — 7 рабочих дней
- Фикс CRITICAL/HIGH — 30 дней
- Фикс MEDIUM — 60 дней
- Фикс LOW/INFO — 90 дней