Политика безопасности

Поддерживаемые версии

Archora сейчас pre-1.0; фиксы получает только main. После 1.0 будем поддерживать текущий минор и предыдущий минор в течение 12 месяцев.

Репортинг

Письмо на security@archora.io. Не открывайте публичные issues по проблемам безопасности. Включите шаги репродукции, версию и любой PoC или логи.

Подтверждаем в течение 48 часов; цель — выпустить фикс или задокументированную митигацию в течение 14 дней для подтверждённых high-severity репортов.

PGP-ключ будет опубликован вместе с 1.0 сайтом.

Скоуп

В скоупе: десктоп-приложение, @archora/core, @archora/cli, парсеры анализатора и Rust IPC-команды в src-tauri/src/commands.rs.

Вне скоупа: проблемы во фреймворках, которые мы анализируем (Vue, React, Nuxt и т. д. — репортите upstream); DoS из патологических входных проектов (мы ограничиваем размер файлов и применяем discover-фильтры, но крафтовые adversarial-входы — известное ограничение); уязвимости в dev-зависимостях, не доходящие до production-бандлов (см. ниже).

Зависимости

CI гоняет npm audit --omit=dev; production-уязвимости блокируют релиз. Текущее состояние: 0 в production, несколько moderate в dev-цепочке (vite@5 → esbuild), затрагивающих только dev-сервер и тесты. Их фикс требует vite@8 — запланирован отдельным breaking-апгрейдом.

Rust-крейты проходят cargo audit в release-workflow; любая Critical advisory блокирует релиз.

Дизайн

• Local-first по умолчанию. Десктоп не делает сетевых запросов во время скана. Только license-check и opt-in AI-вызовы — исходящие; оба перечислены в CSP десктопа.
• Доступ к файловой системе ограничен выбранным корнем. read_file и file_exists отклоняют абсолютные пути и .., канонизируют и корень и target и отказывают всему, что выходит за пределы. Покрыто cargo test в src-tauri/.
• read_file ограничивает входной размер: 2 MiB по умолчанию, 16 MiB hard max.
• Никаких subprocess. Никакой shell-интерполяции пользовательского ввода.
• AI API-ключи (когда выйдут) живут в OS keyring через tauri-plugin-stronghold, не в localStorage и не в plain-файлах.
• Десктопный WebView крутится с CSP, блокирующим connect-src за пределами явного allow-list.

Roadmap

Подписанные сборки macOS/Windows/Linux, Playwright network-isolation smoke на собранных артефактах, SAML SSO для Team/Enterprise, опциональный audit log.