051c4a0265
Some checks are pending
CI / Check (pull_request) Waiting to run
CI / Format (pull_request) Waiting to run
CI / Clippy (pull_request) Waiting to run
CI / Build (macos-latest) (pull_request) Waiting to run
CI / Build (ubuntu-latest) (pull_request) Waiting to run
CI / Build (windows-latest) (pull_request) Waiting to run
2.8 KiB
2.8 KiB
Security Policy
Поддерживаемые версии
| Версия | Поддержка |
|---|---|
| 0.1.x | ✅ |
Сообщить об уязвимости
Если вы обнаружили уязвимость в безопасности, пожалуйста:
- НЕ создавайте публичный issue
- Отправьте email на: [security@example.com]
- Опишите:
- Тип уязвимости
- Шаги для воспроизведения
- Потенциальное влияние
- Предложения по исправлению (если есть)
Безопасность credentials
Важно
- НИКОГДА не коммитьте файлы с credentials в git
- Файлы
credentialsи.envуже добавлены в.gitignore - TDLib сессия в
tdlib_data/содержит токены авторизации — НЕ делитесь этой папкой
Рекомендации
-
Используйте XDG config directory:
- Храните credentials в
~/.config/tele-tui/credentials - Установите права доступа:
chmod 600 ~/.config/tele-tui/credentials
- Храните credentials в
-
Защита сессии:
- Папка
tdlib_data/содержит вашу авторизованную сессию - Не копируйте её на другие машины
- При компрометации — удалите папку и авторизуйтесь заново
- Папка
-
Двухфакторная аутентификация:
- Настоятельно рекомендуется включить 2FA в Telegram
- Это защитит ваш аккаунт даже при утечке API credentials
Известные ограничения
TDLib
- Приложение использует официальную библиотеку TDLib от Telegram
- Безопасность зависит от актуальности TDLib (автообновление через tdlib-rs)
Конфигурация
- Конфигурационный файл
config.tomlНЕ содержит чувствительных данных - Credentials хранятся отдельно в файле
credentials
Обновления безопасности
Мы оперативно реагируем на сообщения об уязвимостях и выпускаем патчи в течение:
- Критические: 24-48 часов
- Высокие: 3-7 дней
- Средние: 2-4 недели
- Низкие: включаются в следующий релиз
Спасибо
Мы ценим ваш вклад в безопасность проекта!