Политика безопасности

Поддерживаемые версии

Исправления безопасности выпускаются только для последней стабильной ветки. Более старые версии считаются устаревшими и обновления не получают — обновитесь до актуальной версии перед тем, как сообщать об уязвимости.

Версия

Поддержка

3.0.x

< 3.0.0

Сообщение об уязвимости

Если вы обнаружили уязвимость безопасности, пожалуйста, не создавайте публичное GitHub Issue и не обсуждайте её в Telegram-чате или Discussions. Это позволит скоординировать выпуск исправления до того, как информация станет публичной.

Есть два способа отправить приватный отчёт:

  1. GitHub Private Vulnerability Reporting (предпочтительный способ) — откройте новый отчёт. Требуется учётная запись GitHub.

  2. Email — отправьте письмо на ilya@marshal.dev с темой, начинающейся со слова [security].

Обратная связь и обновления о статусе уязвимости ведутся по тому же каналу, через который был отправлен отчёт.

Что включить в отчёт

Чтобы ускорить разбор, пожалуйста, приложите к отчёту:

  • Версию библиотеки (yandex_music.__version__) и Python, а также ОС.

  • Описание уязвимости и потенциального влияния (какие данные или действия могут быть скомпрометированы).

  • Минимальный воспроизводимый пример: последовательность вызовов, входные данные, ожидаемое и фактическое поведение.

  • По возможности — предложение по исправлению или указание на затрагиваемый участок кода.

Сроки и процесс

  • Первичный ответ — в течение 72 часов с момента получения отчёта.

  • Оценка и план исправления — до 7 календарных дней.

  • Выпуск исправления — в зависимости от сложности, обычно в пределах 30 календарных дней после подтверждения.

  • После выпуска патча публикуется GitHub Security Advisory с описанием проблемы, затронутых версий и рекомендаций по обновлению. При необходимости запрашивается CVE.

Просим не раскрывать детали уязвимости публично как минимум до выпуска исправления (coordinated disclosure). Если проблему не удаётся воспроизвести или она признана некритичной, вам будет сообщено об этом с пояснением.

Область действия

В область действия входит код, опубликованный в этом репозитории (пакет yandex-music на PyPI), включая клиент, модели, утилиты и генераторы.

Вне области действия:

  • Уязвимости, затрагивающие сам сервис Яндекс.Музыка или её API (сообщайте о них в Яндекс Bug Bounty).

  • Сторонние зависимости — сообщайте их авторам напрямую. Если версия уязвимой зависимости используется нами по умолчанию, мы поможем скоординировать обновление.

  • Проблемы, связанные с использованием заведомо устаревшей или неофициальной сборки библиотеки.

  • Социальная инженерия, фишинг, DoS/DDoS на публичную инфраструктуру.

Благодарности

Исследователям, ответственно сообщившим об уязвимостях, по желанию выражается благодарность в опубликованном advisory и в секции Security заметок о выпуске. Спасибо, что помогаете сделать проект безопаснее.