Skip to content

Security: genlab-1c/prism

SECURITY.md

Безопасность

Спасибо, что помогаете делать PRISM безопаснее.

Как сообщить об уязвимости

Не открывайте публичный Issue для уязвимостей. Используйте приватный канал:

  • GitHub → вкладка SecurityReport a vulnerability (private vulnerability reporting), либо
  • напишите мейнтейнеру: ads4.nr@mail.ru.

Опишите проблему, шаги воспроизведения и потенциальное влияние. Мы ответим в разумный срок и согласуем раскрытие после выпуска исправления.

Контекст

PRISM по замыслу исполняет недоверенный код, сгенерированный нейросетями, в Docker-песочнице. В первую очередь нас интересуют:

  • выход из песочницы (escape из контейнера исполнения A или B);
  • способ повлиять на оценку извне (подмена результата, обход проверок целостности);
  • утечка ключей/секретов через харнесс или адаптеры провайдеров.

Дистрибутив платформы 1С, собранные базы и ключи API в репозиторий не попадают — если заметили обратное, это тоже повод написать.

There aren't any published security advisories