Безопасность

Политика раскрытия уязвимостей

Документ описывает, как сообщить нам об уязвимости, какие сроки реагирования мы обязуемся соблюдать и какие гарантии даём исследователям. Машиночитаемая версия — /.well-known/security.txt.

Как сообщить об уязвимости

Пишите на security@buyka.io. Поддерживаемые языки: русский, английский. PGP-ключ будет опубликован на https://buyka.io/pgp-key.txt до запуска прод-релиза.

Что приложить:

  • Описание проблемы и потенциальное влияние.
  • Пошаговое воспроизведение или PoC-код.
  • Затронутый компонент (apps/web, apps/api, конкретный endpoint).
  • Ваше имя / handle для страницы благодарностей — по желанию.

Не создавайте публичный GitHub Issue. Мы координируем раскрытие, чтобы успеть выпустить фикс до того, как детали станут публичными.

Сроки реагирования (SLA)

КритичностьПервый ответТриажЦелевой фикс
Critical24h48h7 days
High48h5 days30 days
Medium5 days14 days90 days
Low14 days30 days180 days

Координированное публичное раскрытие — 90 дней с даты вашего отчёта. Раньше — если успеваем выпустить фикс; позже — только с вашего согласия.

В зоне действия

  • buyka.io и все поддомены
  • apps/web (Next.js) и apps/api (NestJS) в этом репозитории
  • Auth, RFQ/Deal flow, платежи (Stripe webhook), KYC, file uploads, админ-эндпоинты
  • Мобильная адаптивная вёрстка
  • WebSocket-шлюз /chat

Вне зоны действия

  • Отчёты без рабочего PoC
  • Социнженерия / фишинг сотрудников или пользователей Buyka
  • Физические атаки на офисы / дата-центры
  • DoS / DDoS / брутфорс / выматывание rate-limit
  • Self-XSS (требует пейсна payload в DevTools)
  • Находки автоматических сканеров без ручной валидации
  • Email spoofing без аутентифицированного обхода (DKIM/SPF классифицируется как Low)
  • Отсутствие security-заголовков без эксплойт-цепочки

Safe harbor (гарантии исследователю)

Если вы добросовестно следуете этой политике, мы:

  • Не предъявляем правовых претензий за разумное тестирование.
  • Не обращаемся в правоохранительные органы.
  • Работаем с вами над координированным раскрытием.

«Добросовестно» означает:

  • Вы не извлекаете больше данных, чем нужно для демонстрации проблемы.
  • Вы не вредите доступности сервиса для других пользователей.
  • Вы не сохраняете, не передаёте и не продаёте данные, полученные через уязвимость — уничтожаете их после демонстрации.
  • Вы даёте нам разумное окно на исправление до публикации.

Bug bounty

Денежная программа bug bounty пока не активна. Планируем запуск private HackerOne-программы в Phase 2, после MVP UAT и внешнего пентеста. Дорожная карта — docs/security/bug-bounty-roadmap.md.

Пока что мы предлагаем:

  • Упоминание на странице /security-acks
  • Мерч Buyka, когда у компании появится тираж.
  • Прямой доступ к рассылке программы при её запуске.