Files
pitstopavto-su-v2/SECURITY.md
Dmitry Gusev 7eda77de0e
All checks were successful
deploy / deploy (push) Successful in 58s
security / security (push) Successful in 7s
docs(security): SECURITY.md с описанием Layer A+B+C stack
Описывает все автоматические проверки: Trivy, npm audit (A), Nuclei (B), Hadolint+GitLeaks+Semgrep (C). Email для приватных репортов: admin@hhivp.com.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 17:04:44 +03:00

2.3 KiB
Raw Permalink Blame History

Security Policy

Supported versions

Только текущая версия main — site deployed continuously, отдельных release-веток нет.

Reporting a vulnerability

Email: admin@hhivp.com (PGP опционально по запросу).

Просим не публиковать баг до подтверждения исправления (≤14 дней).

Security stack (automated)

Этот репозиторий покрыт многоуровневой автоматической проверкой:

Layer A — на каждый push в main (deploy CI)

  • Trivy — сканирование Docker image на HIGH/CRITICAL CVE в OS-пакетах и npm-deps (warning-only, --ignore-unfixed).
  • npm audit — проверка зависимостей на известные CVE в Dockerfile после npm ci (warning-only, --audit-level=high --omit=dev).

Layer B — еженедельно (Sun 04:00 UTC, cron)

  • Nuclei — DAST (Dynamic Application Security Testing) живого сайта. Шаблоны: exposures, misconfig, headers, CVE. Severity: HIGH+CRITICAL.
  • Нотификация в Telegram при находках.

Layer C — на каждый push в main + на MR/PR (.gitea/workflows/security.yml)

  • Hadolint — bad practices в Dockerfile.
  • GitLeaks — поиск секретов в git-истории (fetch-depth: 0).
  • Semgrep — SAST (Static Application Security Testing) с конфигами p/javascript, p/react, p/typescript, p/security-audit.

Все три инструмента warning-only — не блокируют deploy, но finding'и видны в логах job'а.

Дополнительно

  • 152-ФЗ consent-gated analytics — Я.Метрика и Google Analytics загружаются только после явного согласия пользователя в баннере cookies.
  • HTTPS-only — Let's Encrypt cert, HSTS включён.
  • Security headersX-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy.
  • Rate limiting — на /api/contact (5 req/min per IP) + Cloudflare Turnstile widget.

Contact