Текущие поддерживаемые версии проекта с исправлениями безопасности:

Если вы обнаружили уязвимость в системе безопасности, пожалуйста, свяжитесь со мной напрямую вместо создания публичного issue.

1. Email: Отправьте описание уязвимости на [ваш email]
2. Содержимое отчёта:
   • Описание уязвимости
   • Шаги для воспроизведения
   • Потенциальное влияние
   • Предложения по исправлению (если есть)

• Подтверждение получения: в течение 48 часов
• Первичная оценка: в течение 5 рабочих дней
• Исправление критических уязвимостей: в течение 14 дней
• Публичное раскрытие: после выпуска патча

Проект фокусируется на инфраструктурных компонентах для OAuth2 интеграции:

В зоне ответственности:

• Скрипты обновления токенов (token refresh flow)
• Конфигурация nginx (reverse proxy)
• Systemd timer безопасность
• Утечки секретов в логах

Вне зоны ответственности:

• Уязвимости в HeadHunter API
• Проблемы с сторонними зависимостями (nginx, bash, systemd)
• Social engineering

При использовании проекта:

1. Секреты и токены:

   • Храните .env файлы за пределами репозитория
   • Используйте chmod 600 для файлов с секретами
   • Регулярно ротируйте токены

2. Права доступа:

   • Запускайте systemd timers от непривилегированного пользователя
   • Ограничьте доступ к /var/lib/hh-token/

3. Обновления:

   • Следите за релизами в репозитории
   • Подпишитесь на GitHub Security Advisories

Исследователи безопасности, сообщившие о критических уязвимостях, будут упомянуты в CHANGELOG (с их согласия).

Примечание: Этот проект содержит только инфраструктурные компоненты. Основное приложение находится в отдельном приватном репозитории.