Ниже указано, какие ветки/версии ZapretDesktop поддерживаются обновлениями безопасности.
| Версия | Поддержка |
|---|---|
| 1.6.x | ✅ |
| 1.5.x | ❌ |
| < 1.5 | ❌ |
Рекомендуется всегда использовать последнюю стабильную версию из релизов (подставьте актуальный owner/repo).
Если вы обнаружили уязвимость в ZapretDesktop (в т.ч. в логике запуска процессов, работе с конфигурацией, путями или сетью), просим сообщать об этом ответственно.
- E-mail: ZapretDesktop@proton.me
- Тема письма желательно начать с
[SECURITY]или[Уязвимость].
- Краткое описание уязвимости и сценарий воспроизведения.
- Версия ZapretDesktop и окружение (ОС, способ запуска).
- Шаги для воспроизведения (без публичного раскрытия эксплойта до исправления).
- По желанию — предложения по исправлению.
- Подтверждение: в течение разумного срока (обычно до нескольких дней) мы подтвердим получение отчёта.
- Обратная связь: после анализа сообщим, принят ли отчёт и планируется ли исправление; при необходимости уточним детали.
- Исправление: для принятых уязвимостей по возможности готовим патч для поддерживаемых версий; о релизе с фиксом сообщим заранее, когда он будет готов.
- Публичное раскрытие: просим не публиковать детали уязвимости до выхода исправления или до согласованной даты раскрытия.
Мы ценим ответственное раскрытие и готовы поблагодарить авторов отчётов (по их согласию) в релизе или в документации.
- ZapretDesktop запускает только .bat-файлы из настроенной папки winws; пути проверяются на path traversal.
- Конфигурация хранится в
%APPDATA%\Roaming\ZapretDesktop\; перед сохранением создаётся резервная копия. - Приложение рассчитано на запуск с правами администратора в контролируемой среде; не следует запускать его из ненадёжных каталогов или под недоверенными учётными записями.
Если у вас есть предложения по усилению безопасности — их можно обсудить в Issue или отправить на указанный выше e-mail.