Skip to content

Security: whitecristafer/AutoAnnounce

Security

SECURITY.md

Политика безопасности

Отчёт об уязвимостях

Если вы обнаружили уязвимость в AutoAnnounce, не открывайте публичный issue.

Вместо этого отправьте конфиденциальный отчёт:

  • Email: contact@infunv.ru
  • Тема письма: [SECURITY] AutoAnnounce — краткое описание уязвимости
  • Приложите: детали уязвимости, шаги воспроизведения, возможное влияние

Процесс обработки

  1. Триаж (≤72 часа): Мы подтверждаем получение и начинаем расследование
  2. Оценка (CVSS): Определяем серьёзность и приоритет
  3. План фикса: Разработчики начинают работу над патчем
  4. Тестирование: Проверка исправления на различных конфигурациях
  5. Релиз: Выпускается новая версия с фиксом
  6. Раскрытие: После релиза информация может быть раскрыта (по соглашению с исследователем)

Поддерживаемые версии

Версия Статус Поддержка до
2.0.x Активная разработка текущая
1.x End of Life Нет

Рекомендации по безопасности

Для разработчиков

  • Всегда валидируйте входные данные (сообщения игроков, конфиги)
  • Используйте явную типизацию вместо динамических типов
  • Избегайте прямого выполнения кода из неподтвержденных источников
  • Применяйте минимальные привилегии для пермишенов
  • Регулярно обновляйте зависимости и проверяйте CVE

Для администраторов серверов

  • Регулярно обновляйте плагин до последней версии
  • Ограничивайте доступ к команде /ann только доверенным администраторам
  • Мониторьте логи AutoAnnounce на подозрительную активность
  • Используйте строгие пермишены (запрещайте по умолчанию, разрешайте явно)
  • Не доверяйте конфигам из неизвестных источников

Известные ограничения безопасности

  • Плагин работает с данными, предоставленными Oxide API (доверяемый источник)
  • Форматирование сообщений использует встроенные теги Rust (теоретически безопасно)
  • Discord интеграция требует валидного webhook URL (храните в конфиге безопасно)

Криптография и хеширование

На данный момент плагин не использует криптографические примитивы. В будущем при реализации синхронизации конфигов или авторизации будут применены:

  • SHA-256 для хеширования
  • HMAC для верификации целостности
  • TLS/HTTPS для передачи данных (Discord, внешние API)

Приватность

Плагин не собирает и не отправляет телеметрию. Все данные остаются на сервере.

Логирование локально:

  • Файл: oxide/logs/AutoAnnounce.log
  • Содержит: временные метки, имена групп, текст объявлений
  • Доступ: только администратор сервера

Контакты безопасности

  • Email: contact@infunv.ru
  • GitHub Issues: Только для некритичных проблем
  • Ответственный: Cristafer White (whitecristafer)

Последнее обновление: 2026-05-04

There aren't any published security advisories