Skip to content

Security: MStar-L/ZapretDesktop

Security

SECURITY.md

Политика безопасности ZapretDesktop

Поддерживаемые версии

Ниже указано, какие ветки/версии ZapretDesktop поддерживаются обновлениями безопасности.

Версия Поддержка
1.6.x
1.5.x
< 1.5

Рекомендуется всегда использовать последнюю стабильную версию из релизов (подставьте актуальный owner/repo).

Сообщение об уязвимости

Если вы обнаружили уязвимость в ZapretDesktop (в т.ч. в логике запуска процессов, работе с конфигурацией, путями или сетью), просим сообщать об этом ответственно.

Куда писать

  • E-mail: ZapretDesktop@proton.me
  • Тема письма желательно начать с [SECURITY] или [Уязвимость].

Что указать в отчёте

  • Краткое описание уязвимости и сценарий воспроизведения.
  • Версия ZapretDesktop и окружение (ОС, способ запуска).
  • Шаги для воспроизведения (без публичного раскрытия эксплойта до исправления).
  • По желанию — предложения по исправлению.

Чего ожидать

  • Подтверждение: в течение разумного срока (обычно до нескольких дней) мы подтвердим получение отчёта.
  • Обратная связь: после анализа сообщим, принят ли отчёт и планируется ли исправление; при необходимости уточним детали.
  • Исправление: для принятых уязвимостей по возможности готовим патч для поддерживаемых версий; о релизе с фиксом сообщим заранее, когда он будет готов.
  • Публичное раскрытие: просим не публиковать детали уязвимости до выхода исправления или до согласованной даты раскрытия.

Мы ценим ответственное раскрытие и готовы поблагодарить авторов отчётов (по их согласию) в релизе или в документации.

Безопасность в коде и конфигурации

  • ZapretDesktop запускает только .bat-файлы из настроенной папки winws; пути проверяются на path traversal.
  • Конфигурация хранится в %APPDATA%\Roaming\ZapretDesktop\; перед сохранением создаётся резервная копия.
  • Приложение рассчитано на запуск с правами администратора в контролируемой среде; не следует запускать его из ненадёжных каталогов или под недоверенными учётными записями.

Если у вас есть предложения по усилению безопасности — их можно обсудить в Issue или отправить на указанный выше e-mail.

There aren't any published security advisories