Безопасность

Сообщить об уязвимости

Пишите на security@exlogare.net — приложите PoC и шаги воспроизведения. Отвечаем в течение одного рабочего дня и держим вас в курсе до закрытия. Программы bug bounty у нас пока нет, но мы охотно упоминаем исследователей в публикуемых рекомендациях по безопасности.

Ваши данные

• Сырые логи пайплайнов обрабатываются только в памяти аналитического слоя и удаляются сразу по окончании задачи. В базу данных они не попадают.
• Слой редакции вырезает JWT, AWS-ключи, токены GitLab, URL с basic-auth и другие секреты с высокой энтропией до того, как запустится анализ.
• Интеграционные токены, webhook-секреты и OAuth-креды шифруются в хранилище симметричными ключами, которые ротируются по расписанию.

Транспорт и сессии

Все публичные точки отдают TLS 1.2+ с современными шифрами. Куки сессий — HttpOnly, Secure, SameSite=Lax. Любые изменяющие состояние вызовы API требуют CSRF-токен по схеме double-submit.

Изоляция тенантов

Каждый тенант изолируется по UUID на уровне БД. Все запросы API и воркера фильтруются по тенанту вызывающей стороны; межтенантный доступ блокируется на уровне ORM, а не UI.

Инфраструктура

Прод работает в изолированных контейнерах с сервис-аккаунтами по принципу минимальных прав. Секреты подставляются при деплое из Vault и не попадают в репозиторий. Бэкапы БД шифруются и делаются каждый день.

Дорожная карта комплаенса

Инженерные практики выравниваем по контролям SOC 2 Type I и движемся к внешнему аудиту. Для управляемой SaaS-версии в зоне внимания GDPR и 152-ФЗ.

Контакты по безопасности

Общие вопросы по безопасности, процедуры поставщиков и сообщения об уязвимостях: security@exlogare.net. Вопросы о приватности: privacy@exlogare.net.