Политика безопасности

Последнее обновление: 21.06.2026

1. Как сообщить об уязвимости

1.1. Если вы нашли уязвимость в OmniSolver Skills, напишите нам напрямую:

• Telegram: @Matveillo — самый быстрый способ.
• Email: mmatveii19992008@gmail.com.

1.2. В отчёте укажите: краткое описание, шаги для воспроизведения, ожидаемое и фактическое поведение, оценку влияния (например по шкале CVSS) и при возможности minimal PoC. Скриншоты, HAR-файлы и логи приветствуются. Не публикуйте детали публично до согласования.

1.3. Ответ — в течение 48 часов в рабочие дни. Критические уязвимости (RCE, выход за пределы аккаунта, доступ к чужим данным или ключам) обрабатываются вне очереди.

2. Что мы считаем допустимым исследованием безопасности

Можно:

• Тестировать сервис от имени собственного аккаунта и со своими API-ключами.
• Использовать собственные тестовые / демо-данные и собственные тестовые скиллы.
• Анализировать публичные эндпоинты реестра (например GET /v1/skills), /health и статические файлы.
• Сообщать о найденных проблемах через каналы из раздела 1.

3. Какие уязвимости нас интересуют (приоритет)

• Critical: RCE на сервере, SQL-инъекция с доступом к чужим данным, обход авторизации, чтение чужих API-ключей или истории, эскалация привилегий до админа.
• High: XSS с доступом к сессии, CSRF на критичных эндпоинтах, утечка персональных данных, обход биллинга / лимитов, обход сканера безопасности (пропуск вредоносного скилла или промпт-инъекции как «approved»).
• Medium: ограниченный self-XSS, недостатки rate-limit, чувствительная информация в ошибках, проблемы CSP, открытые редиректы.
• Low: отсутствие best-practice заголовков, минорные баги с security-привкусом.
• Not in scope: отсутствие SPF/DMARC на доменах, теоретические timing-атаки без PoC, отчёты автоматических сканеров без воспроизводимого PoC, DDoS, missing security headers без эксплуатируемого пути, clickjacking на страницах без чувствительных действий.

4. Что уже сделано на стороне сервиса

• Транспорт: HTTPS с HSTS, редирект HTTP → HTTPS.
• Заголовки: Content-Security-Policy (CSP), а также сопутствующие заголовки безопасности (тип контента, защита от встраивания, политика реферера).
• Сессии: подписанные cookie на основе HMAC, флаги HttpOnly и Secure.
• Пароли: хранятся в виде хеша PBKDF2 с солью; пароль в открытом виде не хранится.
• API-ключи: хранятся только как SHA-256 хеш; полный ключ показывается пользователю один раз при создании и не восстанавливается.
• Сканер скиллов: оффлайн-эвристики + ИИ-проверка отклоняют опасные паттерны — промпт-инъекции, утечку секретов, опасные shell/file-операции, обфускацию и небезопасные сетевые вызовы.
• Гейтинг публикации: скиллы сообщества проходят сканер перед попаданием в реестр; провал по безопасности блокирует публикацию.
• Rate-limit: ограничение числа запросов к API по окнам тарифа (в минуту / в месяц), а также лимиты сканов в день и сборок Skill Builder за 6 часов.
• SQL: только параметризованные запросы.
• Интеграции: привязанные секреты (GitHub PAT) шифруются по схеме Fernet с ключом, хранимым отдельно от БД.
• Право пользователя: отзыв API-ключей и удаление аккаунта в любой момент.

5. Раскрытие после исправления

5.1. После выпуска фикса мы согласовываем с репортёром текст public-acknowledgement (опционально, с указанием имени / ника, если хотите). Принудительной публикации мы не делаем — приватность исследователя для нас важнее публичности.

5.2. Если уязвимость затронула пользовательские данные, мы информируем затронутых пользователей в разумный срок и фиксируем инцидент во внутреннем журнале.

6. О чём этот документ не говорит

Это не bug bounty — фиксированных выплат нет. По исключительным случаям критических находок мы можем компенсировать репортёру подпиской или разовой благодарностью; решение принимается индивидуально и не является публичной офертой.

7. Контакты

Telegram-бот: @OmniSolverSkills_Bot

Telegram (поддержка / админ): @Matveillo

Email: mmatveii19992008@gmail.com