Управління
- Версія
- 2.0
- Дата набуття чинності
- Остання перевірка
- Наступна перевірка
- Відповідальний
- Joel R. Klemmer
Розділ 1. Обсяг і постава платформи
Це інформаційний авторитетний сайт. Він не обробляє платежі. Він не надає облікові записи користувачів. Він не підтримує постійні бази даних користувачів, окрім обмежених операційних потреб. Поверхня ризику навмисно обмежена за дизайном.
Зобов'язання щодо безпеки застосовуються до цього сайту та його хостингового конвеєра. Ми не претендуємо на захист даних, що повністю обробляються сторонніми службами за межами наших договірних очікувань. Дані, що передаються стороннім службам, підлягають їхнім незалежним механізмам безпеки.
Розділ 2. Безпечна розробка та розгортання
Питання безпеки інтегровані в проектування розробки, перегляд коду та робочі процеси розгортання.
Усі зміни проходять через систему контролю версій. Безперервна інтеграція забезпечує перевірки формату, аудити залежностей, лінтінг та ворота валідації перед збіркою.
Де застосовно, середовища продакшену та розробки логічно розділені. Доступ до систем розгортання обмежений засобами контролю доступу за ролями відповідно до операційних потреб.
Події, що мають значення для безпеки, можуть реєструватися та переглядатися відповідно до операційних вимог.
Розділ 3. Інфраструктурні заходи
Середовище хостингу
Сайт розміщений на інфраструктурі, що забезпечує термінацію TLS та шифрований транспорт. Стійкість інфраструктури та процедури резервного копіювання керуються провайдером хостингу.
Безпека транспорту
Весь трафік шифрується за допомогою HTTPS. Змішаний контент не використовується. HSTS увімкнено в продакшені з preload. Термінація TLS відбувається на краю.
HTTP-заголовки безпеки
Сайт надсилає заголовки безпеки, включаючи Content Security Policy, X-Content-Type-Options nosniff, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin та Permissions-Policy, що обмежує камеру, мікрофон, геолокацію та суміжні функції. Вбудовування об'єктів і фреймів вимкнено.
Розділ 4. Заходи застосунку
Обробка введення
Введення контактної форми перевіряється. Збираються лише необхідні дані. Обмеження швидкості застосовується відповідно до конфігурації розгортання.
Управління залежностями
Залежності пакетів керуються через систему залежностей проєкту. Безперервна інтеграція сканує на наявність критичних вразливостей. Виявлені проблеми оцінюються та вирішуються відповідно до тяжкості та доцільності.
Цілісність контенту
Сайт переважно статичний. Динамічне виконання обмежене базовою функціональністю. Джерела скриптів і стилів обмежені через Content Security Policy.
Розділ 5. Захист даних
Збір даних мінімальний. Контактні запити обробляються лише для комунікації. Без перепродажу, без профілювання, без зберігання облікових записів.
Для додаткової інформації щодо практик обробки даних див. сторінку Політики конфіденційності.
Розділ 7. Управління вразливостями
Залежності моніторяться стандартними інструментами управління пакетами. Оновлення інфраструктури виконує провайдер хостингу.
Ми не можемо гарантувати покриття zero-day. Проблеми безпеки оцінюються та вирішуються при виявленні.
У разі інциденту безпеки, що стосується персональних даних під нашим контролем, ми діятимемо відповідно до чинних правових зобов'язань.
Розділ 8. Відповідальне розкриття
Проблеми безпеки можна повідомити через Сторінку контакту. Звіти повинні містити чіткий опис проблеми, кроки для відтворення та зазначену URL або компонент.
Не включайте активний експлойт-код у початковий звіт.
Ми прагнемо підтвердити отримання звітів у розумні терміни. Гарантій часу відповіді не надається.
Розділ 9. Безпечна гавань
Ми не будемо переслідувати в судовому порядку дослідників, які повідомляють про вразливості добросовісно, залишаються в рамках, описаних у цій політиці, уникають доступу або зміни даних понад те, що потрібно для демонстрації проблеми, та уникають шкоди конфіденційності або порушення сервісу.
Ця безпечна гавань застосовується лише до діяльності в межах, описаних у цій політиці, і не дозволяє дій, що порушують чинне право або умови сторонніх служб.
Тестування відмови в обслуговуванні, соціальна інженерія персоналу або тестування сторонніх служб не дозволяється.
Розділ 10. Обмеження
Жодна система не застрахована від ризиків. Ця сторінка Безпеки не є гарантією або договірним зобов'язанням щодо безпеки.
Заяви в цьому документі відображають поточну практику та можуть змінюватися без попередження.
Користувачі несуть відповідальність за підтримку розумних практик безпеки на власних пристроях та мережах.
Розділ 11. Управління та перевірка
Поставу безпеки періодично переглядають. Суттєві зміни відобразяться в розділі управління.
Останнє оновлення: 2026-02-22