Қауіпсіздік
Ресми нұсқасы орыс тілінде. / Официальная версия на русском языке.
Ответственное раскрытие
Если вы обнаружили уязвимость в BugSpotter, сообщите ответственно:
- Email: security@bugspotter.io
- Мы подтвердим получение в течение 48 часов
- Мы предоставим сроки исправления в течение 5 рабочих дней
- Мы не будем преследовать исследователей, следующих данной политике
Область действия
В область действия входят:
- BugSpotter SDK (
@bugspotter/sdk) - Chrome Extension
- Панель управления (app.kz.bugspotter.io)
- API (api.kz.bugspotter.io)
- Демо-инстансы (demo.kz.bugspotter.io)
Вне области действия
- Атаки социальной инженерии
- Атаки отказа в обслуживании (DoS/DDoS)
- Уязвимости в сторонних зависимостях (сообщайте разработчикам)
- Проблемы с демо-данными или тестовыми аккаунтами
Практики безопасности
Шифрование данных
- Все данные зашифрованы при передаче — TLS 1.3
- Все данные зашифрованы при хранении — AES-256
- Подключения к БД используют TLS с верификацией сертификатов
PII клиенттік маскалау
- 9 кірістірілген паттерн: email, телефон, карта, ЖСН, SSN, IP, API-кілттер, токендер, құпиясөздер — жіберу алдында браузерде маскаланады
- Сәйкестік пресеттері:
gdpr,pci,financial,kazakhstan,minimal,all - Салалық деректер үшін реттелетін regex-паттерндер (брокерлік шоттар, IBAN, ішкі ID)
- Сіздің серверлеріңіз — және біздің — ешқашан өңделмеген жеке деректерді алмайды
Реттелетін паттерн мысалы
BugSpotter.init({
sanitize: {
patterns: 'all',
customPatterns: [
{ name: 'broker-account', regex: /FRH\d{9}/gi },
{ name: 'iban-kz', regex: /KZ\d{18}/gi },
],
},
});Аутентификация
- JWT-токены (access: 24ч, refresh: 7д)
- Refresh-токены в httpOnly secure cookies (не localStorage)
- Блокировка аккаунта после 5 неудачных попыток входа (15 мин)
- API-ключи: bcrypt-хеширование, отображение только префикса
Безопасность сетевого захвата
- Заголовки Authorization, cookies и API-ключи автоматически удаляются из захваченных сетевых запросов
- Пользовательские паттерны фильтрации заголовков через конфигурацию SDK
Инфраструктура
- SaaS размещён в Республике Казахстан (соответствие резидентности данных)
- Управляемый PostgreSQL с автоматическим бэкапом и восстановлением
- Управляемый Redis с TLS
- S3-совместимое хранилище с шифрованием при хранении
- Контейнерное развёртывание с изоляцией ресурсов
Безопасность ИИ
- ИИ работает на self-hosted Ollama — данные не отправляются сторонним API
- LLM-инференс происходит в той же инфраструктуре, что и приложение
- SaaS: ИИ работает на наших серверах в Казахстане
- Self-hosted: ИИ полностью на вашей инфраструктуре
Соответствие требованиям
- Закон РК №94-V — О персональных данных (включая поправку июля 2024: уведомление об утечке за 1 рабочий день)
- Astana Hub — участник международного технопарка
- GDPR-ready — клиентское маскирование PII, экспорт и удаление данных
- PCI DSS-aware — номера карт маскируются до отправки
OWASP Top 10 өзін-өзі бағалау
Ішкі код аудиті 2026 жылдың сәуірінде OWASP Top 10 (2021) бойынша жүргізілді. Барлық санаттар өтті.
| Санат | Мәртебе | Негізгі шаралар |
|---|---|---|
| A01: Қол жеткізуді бақылау | Өтті | Рөлдік middleware (платформа, ұйым, жоба), API-кілт скоупингі |
| A02: Криптографиялық сәтсіздіктер | Өтті | AES-256-GCM шифрлау, bcrypt хештеу, scrypt кілт туындату, HSTS |
| A03: Инъекциялар | Өтті | Параметрленген SQL сұраулар, идентификатор валидациясы, CSP тақырыптары |
| A04: Қауіпсіз емес дизайн | Өтті | Rate limiting (IP + API-кілт), Zod валидация, сұрау көлемін шектеу |
| A05: Қате конфигурация | Өтті | Helmet тақырыптары, қатаң CORS валидация, production-да стектрейссіз |
| A06: Осал компоненттер | Өтті | Заманауи тәуелділіктер, тұрақты жаңартулар, 2026 сәуірдегі аудитте белгілі CVE жоқ |
| A07: Аутентификация сәтсіздіктері | Өтті | JWT мерзімімен, httpOnly refresh cookie, magic link уақыт байланысымен, аккаунт құлыптау |
| A08: Деректер тұтастығы | Өтті | HMAC-SHA256 вебхук қолтаңбалары, timing-safe салыстыру, replay қорғау |
| A09: Логтау және мониторинг | Өтті | Барлық админ әрекеттерінің аудит журналдары, сезімтал деректерді редакциялау, сәтсіз кіру бақылау |
| A10: SSRF | Өтті | Жеке IP бұғаттау, cloud metadata, баламалы кодтау детекциясы, isolated-vm |
Өзін-өзі бағалау backend API мен SDK-ны қамтиды. Тәуелсіз пентест 2026 жылға жоспарланған.
Open Source
- SDK: лицензия MIT — полностью открытый код
- Backend: Fair Source — становится Apache 2.0 через 2 года
- Данные в стандартном PostgreSQL + S3 — без привязки к вендору
Контакты
Безопасность: security@bugspotter.io
Конфиденциальность: privacy@bugspotter.io
Общие вопросы: info@bugspotter.io