1.1. Настоящий документ определяет порядок сообщения о потенциальных уязвимостях в проекте FakerRussia (далее — Проект), а также устанавливает границы ответственности, связанной с использованием Проекта.
1.2. Проект распространяется на условиях открытой лицензии MIT. Использование Проекта означает полное принятие условий, изложенных в лицензионном соглашении, включая положения об отсутствии гарантий и ответственности.
2.1. Проект предназначен исключительно для генерации тестовых, вымышленных данных.
2.2. Сгенерированные данные (включая, но не ограничиваясь: номера ИНН, СНИЛС, паспортов, банковских карт, номера телефонов, адреса электронной почты) не являются действительными и не могут использоваться:
- В качестве официальных документов, удостоверяющих личность;
- Для совершения юридически значимых действий;
- Для регистрации в государственных информационных системах;
- Для получения услуг, требующих подтверждения личности;
- Для любых иных целей, где требуется действительность или юридическая значимость предоставляемых данных.
2.3. Попытки использования сгенерированных данных в указанных выше целях могут квалифицироваться как противоправные действия в соответствии с законодательством Российской Федерации (включая, но не ограничиваясь, статьей 159 Уголовного кодекса РФ «Мошенничество»).
3.1. Активная поддержка в части безопасности предоставляется только для последней стабильной версии Проекта, доступной в официальном репозитории.
| Версия | Статус поддержки |
|---|---|
| Последняя стабильная | Поддерживается |
| Предыдущие версии | Не поддерживаются |
| Пре-релизные версии | Не поддерживаются |
3.2. Пользователям рекомендуется всегда использовать последнюю версию Проекта.
4.1. В контексте настоящего документа под уязвимостью понимается дефект, который:
- Позволяет генерировать данные, не соответствующие установленным формальным правилам (например, некорректные контрольные суммы ИНН, СНИЛС, номеров банковских карт);
- Приводит к некорректной работе Проекта, создающей риск для систем, в которых он используется;
- Может быть использован для обхода заявленных механизмов генерации.
4.2. Не считаются уязвимостями:
- Отсутствие функций, не заявленных в документации;
- Стилистические особенности кода, не влияющие на корректность генерации;
- Проблемы, связанные с некорректным использованием Проекта пользователем.
5.1. Сообщения о потенциальных уязвимостях не подлежат публичному раскрытию до момента устранения.
5.2. Для сообщения об уязвимости необходимо:
5.2.1. Направить описание проблемы автору Проекта через личные каналы связи, доступные в профиле GitHub.
5.2.2. Описание должно содержать:
- Версию Проекта, в которой обнаружена проблема;
- Подробные инструкции по воспроизведению;
- Предполагаемые последствия эксплуатации уязвимости;
- При наличии — предложения по устранению.
5.3. Категорически запрещается:
- Создавать публичные Issue с описанием уязвимости;
- Раскрывать детали уязвимости третьим лицам до устранения;
- Использовать обнаруженную уязвимость в целях, не связанных с тестированием безопасности.
6.1. Автор обязуется:
- Провести анализ сообщения и определить его обоснованность;
- В случае подтверждения уязвимости — принять меры по ее устранению в разумные сроки;
- После устранения уязвимости — выпустить новую версию Проекта с соответствующими изменениями.
6.2. Автор не несет обязательств по:
- Устранению уязвимостей, обнаруженных в неподдерживаемых версиях;
- Предоставлению индивидуальных исправлений для пользователей, не обновляющих Проект;
- Компенсации любых убытков, связанных с использованием Проекта.
7.1. Проект предоставляется на условиях «как есть» (AS IS), без каких-либо явных или подразумеваемых гарантий.
7.2. В соответствии с лицензией MIT, автор не несет ответственности за:
- Любые убытки, прямые или косвенные, возникшие в результате использования Проекта;
- Последствия использования сгенерированных данных в любых целях;
- Соответствие Проекта требованиям конкретных систем или законодательства.
8.1. Проект не имеет внешних зависимостей и использует только стандартную библиотеку Python.
8.2. Это существенно снижает риски, связанные с:
- Атаками через цепочку поставок (supply chain attacks);
- Уязвимостями в сторонних библиотеках;
- Необходимостью обновления зависимостей для получения исправлений безопасности.
8.3. Пользователям рекомендуется использовать актуальные версии интерпретатора Python, поддерживаемые официальными обновлениями безопасности.
9.1. Настоящая Политика безопасности может быть изменена автором в одностороннем порядке без предварительного уведомления.
9.2. Актуальная версия документа всегда доступна в официальном репозитории Проекта.
9.3. Вопросы, не урегулированные настоящим документом, разрешаются в соответствии с законодательством Российской Федерации.