Координированное раскрытие уязвимостей.

Сообщить о чувствительной уязвимости

Для любой из следующих категорий не открывайте публичный issue:

• Обход аутентификации или авторизации.
• Утечка клиентских данных или утечка между арендаторами.
• Удалённое выполнение кода.
• Компрометация цепи поставок (целостность подписанного артефакта, CI / CD).
• Криптографическая слабость в наших протоколах.
• Противоборствующие или модель-уклоняющие находки против развёрнутых моделей, влияющие на эксплуатацию.
• Любая уязвимость в конвейерах автономного принятия решений.

Основатели лично читают security@. Передача выделенной команде безопасности анонсируется в журнале изменений. Отпечаток PGP опубликован ниже.

Эл. почта: [email protected]
PGP-ключ: /.well-known/pgp-key.asc

Наши обязательства перед раскрывающими

• Подтверждение получения в течение 24 часов.
• Первичное определение объёма в течение 5 рабочих дней.
• Сообщение сроков устранения в течение 10 рабочих дней.
• Координированное раскрытие в момент готовности исправления к развёртыванию.
• Safe harbour: никаких юридических преследований добросовестных исследований; NDA для раскрытия не требуется.