Безопасные обновления предоставляются для последней версии библиотеки.
Если вы обнаружили уязвимость безопасности, пожалуйста, не создавайте публичный issue. Вместо этого:
- Отправьте email на адрес: security@example.com (замените на реальный)
- Оставьте время для исправления до публичного раскрытия
- Укажите детальную информацию о уязвимости:
- Описание проблемы
- Шаги для воспроизведения
- Влияние на безопасность
- Предлагаемое исправление (если есть)
Мы ответим в течение 48 часов и предоставим оценку времени для исправления.
- После подтверждения уязвимости мы работаем над исправлением
- После исправления мы создаём новый релиз с патчем
- Мы публично раскрываем уязвимость после релиза
- Мы благодарим исследователей в changelog (по желанию)
draftRAG редактирует известные секреты из сообщений ошибок, которые она формирует (например, APIKey/bearer token из options), чтобы они не утекали в APM/лог-агрегаторы.
Однако:
- draftRAG не делает автоматическое распознавание PII в произвольном тексте
- Не логируйте сырые документы/запросы в своём приложении без собственной политики/редакции
- Используйте контекст с timeout для всех операций
- Настройте retry с circuit breaker для внешних API
- Используйте LRU-кэш для эмбеддингов
- Настройте observability hooks для мониторинга
- Не хардкодите API ключи в коде, используйте переменные окружения
Мы регулярно обновляем зависимости для безопасности. Используйте go get -u для получения последних обновлений.
Этот проект распространяется под Apache License 2.0. См. файл LICENSE.