Безопасность
Ответственное раскрытие
Если вы обнаружили уязвимость в BugSpotter, сообщите ответственно:
- Email: security@bugspotter.io
- Мы подтвердим получение в течение 48 часов
- Мы предоставим сроки исправления в течение 5 рабочих дней
- Мы не будем преследовать исследователей, следующих данной политике
Область действия
В область действия входят:
- BugSpotter SDK (
@bugspotter/sdk) - Chrome Extension
- Панель управления (app.kz.bugspotter.io)
- API (api.kz.bugspotter.io)
- Демо-инстансы (demo.kz.bugspotter.io)
Вне области действия
- Атаки социальной инженерии
- Атаки отказа в обслуживании (DoS/DDoS)
- Уязвимости в сторонних зависимостях (сообщайте разработчикам)
- Проблемы с демо-данными или тестовыми аккаунтами
Практики безопасности
Шифрование данных
- Все данные зашифрованы при передаче — TLS 1.3
- Все данные зашифрованы при хранении — AES-256
- Подключения к БД используют TLS с верификацией сертификатов
Клиентское маскирование PII
- 9 встроенных паттернов: email, телефоны, карты, ИИН, SSN, IP, API-ключи, токены, пароли — маскируются в браузере до отправки
- Пресеты соответствия:
gdpr,pci,financial,kazakhstan,minimal,all - Пользовательские regex-паттерны для отраслевых данных (брокерские счета, IBAN, внутренние ID)
- Ваши серверы — и наши — никогда не получают сырые персональные данные
Пример пользовательского паттерна
BugSpotter.init({
sanitize: {
patterns: 'all',
customPatterns: [
{ name: 'broker-account', regex: /FRH\d{9}/gi },
{ name: 'iban-kz', regex: /KZ\d{18}/gi },
],
},
});Аутентификация
- JWT-токены (access: 24ч, refresh: 7д)
- Refresh-токены в httpOnly secure cookies (не localStorage)
- Блокировка аккаунта после 5 неудачных попыток входа (15 мин)
- API-ключи: bcrypt-хеширование, отображение только префикса
Безопасность сетевого захвата
- Заголовки Authorization, cookies и API-ключи автоматически удаляются из захваченных сетевых запросов
- Пользовательские паттерны фильтрации заголовков через конфигурацию SDK
Инфраструктура
- SaaS размещён в Республике Казахстан (соответствие резидентности данных)
- Управляемый PostgreSQL с автоматическим бэкапом и восстановлением
- Управляемый Redis с TLS
- S3-совместимое хранилище с шифрованием при хранении
- Контейнерное развёртывание с изоляцией ресурсов
Безопасность ИИ
- ИИ работает на self-hosted Ollama — данные не отправляются сторонним API
- LLM-инференс происходит в той же инфраструктуре, что и приложение
- SaaS: ИИ работает на наших серверах в Казахстане
- Self-hosted: ИИ полностью на вашей инфраструктуре
Соответствие требованиям
- Закон РК №94-V — О персональных данных (включая поправку июля 2024: уведомление об утечке за 1 рабочий день)
- Astana Hub — участник международного технопарка
- GDPR-ready — клиентское маскирование PII, экспорт и удаление данных
- PCI DSS-aware — номера карт маскируются до отправки
Самооценка OWASP Top 10
Внутренний аудит кода проведён в апреле 2026 года по OWASP Top 10 (2021). Все категории пройдены.
| Категория | Статус | Ключевые меры |
|---|---|---|
| A01: Нарушение контроля доступа | Пройдено | Ролевой middleware (платформа, организация, проект), скоупинг API-ключей |
| A02: Криптографические сбои | Пройдено | AES-256-GCM шифрование, bcrypt хеширование, scrypt деривация ключей, HSTS |
| A03: Инъекции | Пройдено | Параметризованные SQL-запросы, валидация идентификаторов, CSP заголовки |
| A04: Небезопасный дизайн | Пройдено | Rate limiting (IP + API-ключ), валидация через Zod, лимит размера запросов |
| A05: Неверная конфигурация | Пройдено | Helmet заголовки, строгая CORS валидация, без стектрейсов в production |
| A06: Уязвимые компоненты | Пройдено | Актуальные зависимости, регулярные обновления, без известных CVE на апрель 2026 |
| A07: Сбои аутентификации | Пройдено | JWT с истечением, httpOnly refresh cookie, magic link с привязкой ко времени, блокировка аккаунта |
| A08: Нарушение целостности данных | Пройдено | HMAC-SHA256 подписи вебхуков, timing-safe сравнение, защита от replay |
| A09: Логирование и мониторинг | Пройдено | Журналы аудита всех действий админа, редакция чувствительных данных, отслеживание неудачных входов |
| A10: SSRF | Пройдено | Блокировка приватных IP, cloud metadata, детекция альтернативных кодировок, isolated-vm |
Самооценка охватывает backend API и SDK. Независимый пентест запланирован на 2026 год.
Open Source
- SDK: лицензия MIT — полностью открытый код
- Backend: Fair Source — становится Apache 2.0 через 2 года
- Данные в стандартном PostgreSQL + S3 — без привязки к вендору
Контакты
Безопасность: security@bugspotter.io
Конфиденциальность: privacy@bugspotter.io
Общие вопросы: info@bugspotter.io