Red Lycoris — open-source ASOC-платформа, которую я разрабатываю в одиночку как энтузиаст. Безопасность платформы для меня важна, и я благодарен всем, кто сообщает об уязвимостях приватно.

Платформа находится в стадии публичной беты. Исправления безопасности выходят только в активной минорной ветке.

Пожалуйста, не открывайте публичный issue, PR или discussion — это ставит под удар всех, у кого платформа уже стоит в production.

Лучший способ — GitHub Private Vulnerability Reporting. Канал приватный, переписка шифруется, и автоматически создаётся черновик security advisory, в котором удобно работать.

• Версия Red Lycoris и тип развёртывания (docker compose up / production overlay / air-gapped).
• Затронутый компонент: backend, frontend, конкретный парсер, enrichment.
• Шаги воспроизведения с Proof of Concept.
• Соображения о реальном воздействии.

CVSS считать необязательно — посчитаю сам.

Это проект одного разработчика, поэтому без корпоративных SLA. Но я постараюсь:

• Ответить и подтвердить получение в течение нескольких дней.
• Дать первичную оценку (валидно / дубль / вне скоупа) в течение пары недель.
• Держать вас в курсе по ходу работы над фиксом.

Если кажется, что я пропал — пингуйте, скорее всего я просто зашился. Сроки фикса зависят от severity и сложности: критическое стараюсь закрывать быстро, остальное уходит в ближайший подходящий релиз.

• Backend API и парсеры импортируемых отчётов (backend/internal/parser/) — основная поверхность атаки, особенно интересно.
• Enrichment-пайплайн (NVD, EPSS, KEV, БДУ ФСТЭК, OSV, CWE).
• Frontend.
• Официальные Docker-образы из GHCR.
• Документация, если она напрямую ведёт к небезопасной конфигурации.

Особенно ценю отчёты про обход аутентификации/RBAC, RCE/SSRF/XXE в парсерах, SQL-инъекции (raw SQL через pgx/v5), path traversal при импорте/экспорте, утечки данных в логах и audit log.

• Уязвимости, которые работают только при дефолтных паролях из env.example.
• DoS на dev-инстанс (ENV=dev).
• Отсутствие TLS на :8080 — это задача reverse proxy, не платформы.
• Self-XSS.
• CVE в зависимостях без воспроизводимого PoC именно в Red Lycoris.
• Сырой output автосканеров (Nuclei, Nikto и т. п.) без верификации.
• Социальная инженерия и физический доступ.

См. также docs/security-model.md — там описано, что платформа защищает, а что нет.

Работаю по coordinated disclosure: уязвимость остаётся приватной до выпуска фикса, после чего публикуется GitHub Security Advisory. Стандартное окно между релизом и публичным раскрытием — около 30 дней, чтобы пользователи успели обновиться. По договорённости можно сделать короче или длиннее.

Не буду инициировать юридические разбирательства с исследователями, если вы:

• действовали добросовестно, без злого умысла;
• тестировали свой собственный инстанс, а не чужие production-развёртывания;
• не сохраняли пользовательские данные сверх необходимого для подтверждения уязвимости;
• не публиковали детали до согласованной даты раскрытия.

С вашего согласия укажу имя или псевдоним в самом advisory и в release notes того релиза, в котором фикс. Bug bounty на стадии беты нет.