Описывает все автоматические проверки: Trivy, npm audit (A), Nuclei (B), Hadolint+GitLeaks+Semgrep (C). Email для приватных репортов: admin@hhivp.com. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2.3 KiB
2.3 KiB
Security Policy
Supported versions
Только текущая версия main — site deployed continuously, отдельных release-веток нет.
Reporting a vulnerability
Email: admin@hhivp.com (PGP опционально по запросу).
Просим не публиковать баг до подтверждения исправления (≤14 дней).
Security stack (automated)
Этот репозиторий покрыт многоуровневой автоматической проверкой:
Layer A — на каждый push в main (deploy CI)
- Trivy — сканирование Docker image на HIGH/CRITICAL CVE в OS-пакетах и npm-deps (warning-only,
--ignore-unfixed). - npm audit — проверка зависимостей на известные CVE в
Dockerfileпослеnpm ci(warning-only,--audit-level=high --omit=dev).
Layer B — еженедельно (Sun 04:00 UTC, cron)
- Nuclei — DAST (Dynamic Application Security Testing) живого сайта. Шаблоны: exposures, misconfig, headers, CVE. Severity: HIGH+CRITICAL.
- Нотификация в Telegram при находках.
Layer C — на каждый push в main + на MR/PR (.gitea/workflows/security.yml)
- Hadolint — bad practices в
Dockerfile. - GitLeaks — поиск секретов в git-истории (
fetch-depth: 0). - Semgrep — SAST (Static Application Security Testing) с конфигами
p/javascript,p/react,p/typescript,p/security-audit.
Все три инструмента warning-only — не блокируют deploy, но finding'и видны в логах job'а.
Дополнительно
- 152-ФЗ consent-gated analytics — Я.Метрика и Google Analytics загружаются только после явного согласия пользователя в баннере cookies.
- HTTPS-only — Let's Encrypt cert, HSTS включён.
- Security headers —
X-Frame-Options,X-Content-Type-Options,Referrer-Policy,Permissions-Policy,Content-Security-Policy. - Rate limiting — на
/api/contact(5 req/min per IP) + Cloudflare Turnstile widget.
Contact
- Email: admin@hhivp.com
- Site: https://hhivp.com/