| 버전 | 보안 패치 |
|---|---|
| 0.1.x-alpha | O (활성) |
| < 0.1.0 | X (pre-public) |
Public issue 사용 금지. 보안 이슈는 GitHub Security Advisory(private)로 신고하십시오.
- GitHub Security Advisory: https://github.com/VoidLight00/3fools-pingpong/security/advisories/new
- 응답 시간: 7일 이내 1차 응답
- CVE 발급: 영향도 검토 후 maintainer 판단
다음을 발견하면 신고:
- OAuth 토큰 누출 — 로그/diff/archive에
Bearer/sk-/eyJ/gho_/glpat-/xoxb-/ya29\./sk-ant-패턴이 redact 없이 출력되는 경로 - redact 우회 — 새로운 secret 형식이 본 하네스의 자동 마스킹을 통과
- 권한 우회 —
domain↔ownerenforce 우회로 pane 2가 arch 결정을 쓰거나 pane 3가 impl 코드를 commit - lock 우회 —
.3fools/locks/경합 상태에서 같은 파일이 동시 수정 - 외부 push 자동화 — 사용자 명시 승인 게이트 우회로 git push / Vercel / SNS 자동 실행
- OAuth callback 외부 redirect —
127.0.0.1/ mesh 내부 외 호스트로 토큰 전달 - 약관 위반 트리거 코드 — multi-account pooling / rate limit bypass / 본인 외 계정 사용 유도
본 하네스 사용 중 본인이 약관 위반에 닿았다고 판단되면 public issue로 게시하지 마십시오 — 본인 계정 정보가 추적될 수 있습니다.
대신:
- 본인 책임으로 각 회사 고객지원에 직접 문의
- 일반화된 위반 패턴(개인 정보 제외)은 LEGAL.md 보강 PR로 기여
릴리스 PR마다 자동 검증:
| 항목 | 도구 | 통과 기준 |
|---|---|---|
| 토큰 패턴 leak | grep -rEi '<redact-patterns>' . |
0 hit |
| 시크릿 파일 push 차단 | .gitignore enforce |
secrets.env / .3fools/ / .env 미포함 |
| 의존 도구 minor lock | 3fools doctor |
C2/C3/C4 PASS |
| OAuth callback URL | 정적 검사 | 127.0.0.1 또는 mesh 내부만 |
| Bash script syntax | bash -n |
exit 0 |
| JSON manifest 유효성 | python3 -m json.tool |
exit 0 |
- redact 패턴 추가/수정 → pane 4 (arch/safety) 단독 owner
- LEGAL.md 변경 → maintainer + 사용자 합의 PR
- OAuth provider 추가 → SPEC.md §6 동시 수정 + RFC 프로세스