Если вы обнаружили уязвимость в AutoAnnounce, не открывайте публичный issue.
Вместо этого отправьте конфиденциальный отчёт:
- Email: contact@infunv.ru
- Тема письма: [SECURITY] AutoAnnounce — краткое описание уязвимости
- Приложите: детали уязвимости, шаги воспроизведения, возможное влияние
- Триаж (≤72 часа): Мы подтверждаем получение и начинаем расследование
- Оценка (CVSS): Определяем серьёзность и приоритет
- План фикса: Разработчики начинают работу над патчем
- Тестирование: Проверка исправления на различных конфигурациях
- Релиз: Выпускается новая версия с фиксом
- Раскрытие: После релиза информация может быть раскрыта (по соглашению с исследователем)
| Версия | Статус | Поддержка до |
|---|---|---|
| 2.0.x | Активная разработка | текущая |
| 1.x | End of Life | Нет |
- Всегда валидируйте входные данные (сообщения игроков, конфиги)
- Используйте явную типизацию вместо динамических типов
- Избегайте прямого выполнения кода из неподтвержденных источников
- Применяйте минимальные привилегии для пермишенов
- Регулярно обновляйте зависимости и проверяйте CVE
- Регулярно обновляйте плагин до последней версии
- Ограничивайте доступ к команде
/annтолько доверенным администраторам - Мониторьте логи AutoAnnounce на подозрительную активность
- Используйте строгие пермишены (запрещайте по умолчанию, разрешайте явно)
- Не доверяйте конфигам из неизвестных источников
- Плагин работает с данными, предоставленными Oxide API (доверяемый источник)
- Форматирование сообщений использует встроенные теги Rust (теоретически безопасно)
- Discord интеграция требует валидного webhook URL (храните в конфиге безопасно)
На данный момент плагин не использует криптографические примитивы. В будущем при реализации синхронизации конфигов или авторизации будут применены:
- SHA-256 для хеширования
- HMAC для верификации целостности
- TLS/HTTPS для передачи данных (Discord, внешние API)
Плагин не собирает и не отправляет телеметрию. Все данные остаются на сервере.
Логирование локально:
- Файл:
oxide/logs/AutoAnnounce.log - Содержит: временные метки, имена групп, текст объявлений
- Доступ: только администратор сервера
- Email: contact@infunv.ru
- GitHub Issues: Только для некритичных проблем
- Ответственный: Cristafer White (whitecristafer)
Последнее обновление: 2026-05-04