| Версия | Поддержка |
|---|---|
| 1.2.x | ✅ Active |
| 1.1.x | |
| < 1.1 | ❌ End of life |
Если вы обнаружили уязвимость:
- Не создавайте публичный Issue
- Отправьте описание на email: security@liftplatform.kz
- Укажите: тип уязвимости, шаги воспроизведения, потенциальное воздействие
- Мы ответим в течение 48 часов
- JWT (HS256) в httpOnly cookies
- Access token: 1 час, Refresh token: 7 дней
- Пароли: Argon2 (memory-hard hash)
- Rate limiting на login: 10 попыток/мин
- Политика паролей: min 8 символов, буквы + цифры
- RBAC: 6 ролей, 22 permission
- Multi-tenancy: изоляция данных по организациям
- Middleware проверяет JWT на каждом запросе
- XSS: CSP headers, httpOnly cookies
- CSRF: SameSite=Strict cookies
- SQL Injection: параметризованные запросы ($1, $2)
- File Upload: magic bytes validation, size limits
- Spam: honeypot + rate limiting + duplicate detection
- Clickjacking: X-Frame-Options: DENY
- HSTS: Strict-Transport-Security header
- PostgreSQL порт не проброшен наружу
- Docker non-root user в production image
- JSON body size limit: 1MB
- Timing-safe comparison для секретов
- Audit log: все действия с IP-адресами
Регулярно проверяйте зависимости:
npm audit