Мы благодарны исследователям и клиентам, которые помогают находить и исправлять уязвимости. Здесь описан прозрачный и понятный процесс ответственного раскрытия для BigMike.help.

Как сообщить об уязвимости

1. Напишите на security@bigmike.help, подробно опишите проблему, приложите логи, HTTP-запросы и потенциальный бизнес-ущерб.
2. По возможности шифруйте сообщение нашим PGP‑ключом.
3. Если email недоступен, воспользуйтесь формой обратной связи и укажите, что это сообщение о безопасности.

Мы подтверждаем получение валидных отчётов максимально быстро (обычно в течение 48 часов) и держим вас в курсе до момента развёртывания исправления.

Область ответственности и ожидания

• Тестируйте только ресурсы BigMike.help (домены, оканчивающиеся на bigmike.help).
• Не пытайтесь получать данные клиентов, устраивать отказ в обслуживании или ухудшать работу продакшена.
• Не публикуйте информацию об уязвимости до подтверждения, что проблема закрыта.
• Предоставляйте воспроизводимые шаги и, по возможности, рабочий proof of concept.

Типовой таймлайн

• Триаж: 1–3 рабочих дня на проверку и оценку серьёзности.
• Исправление: зависит от критичности, высокорисковые кейсы закрываем в течение 30 дней.
• Благодарность: после развёртывания фикса согласуем публикацию деталей и упоминание.

Признание

Исследователей, которые соблюдают эту политику и присылают полезные отчёты, мы добавляем в Зал славы. С вашего разрешения укажем предпочитаемое имя, краткое описание закрытой уязвимости и ссылку на сайт или профиль.

Спасибо, что помогаете защищать сообщество BigMike.help.