Публичная альфа

Iceslab v0.1.8 - open-source панель оператора под AGPL-3.0. Первый релиз 2026-05-19, актуальная v0.1.8 от 2026-06-20.

Открыть Iceslab

icecompany.tech/security

/ Документы|Документ 03 · security|v1 · 14 мая 2026

Безопасность.

Если вы нашли уязвимость в нашем софте, инфраструктуре или на этом сайте - расскажите. Мы отвечаем. Фиксим. Кредитим. Вот как.

Наша сторона договора

Safe harbour,
простыми словами.

  • Не подаём в суд за честные исследования

    Пока вы в рамках области ниже и не вредите сервису - вы действуете добросовестно.

  • Быстро подтверждаем и держим в курсе еженедельно

    Никаких чёрных дыр. Если перестали отвечать - напишите ещё раз, мы не «решили проигнорировать».

  • Публично указываем ваше авторство - если сами захотите

    Зал славы ниже. Имя, ник, ссылка - на ваше усмотрение.

  • Публикуем разбор, когда фикс уехал

    В field notes выходит история. Клиенты и сообщество учатся на ней. Если захотите - становитесь соавтором.

Область

Что входит,
что нет.

Две колонки. Баги из колонки 01 - кандидаты на кредит и спасибо. Цели из колонки 02 - не наша зона или закрыты.

В области - пожалуйста, тестируйте

  • +

    icecompany.tech (этот сайт)

    XSS, серверные мисконфиги, CVE в зависимостях

  • +

    Панель Iceslab + staging-инстансы

    Auth, UI панели, API-эндпоинты

  • +

    Open-core репозиторий Iceslab

    Code-level баги в протокольных раннерах, супервизоре, CLI

  • +

    Icepath Mini App

    Логика подписок, маршрутизация регионов, доставка конфигов

  • +

    VPN-ноды Icepath

    Auth bypass, утечка трафика, нарушение log-политики

  • +

    Email / DNS / mail-инфраструктура

    SPF/DKIM/DMARC, векторы захвата DNS

Вне области - не тестируйте

  • Объёмный DoS / DDoS

    Не вредите сервису, чтобы что-то доказать

  • Социальная инженерия команды

    Не фишите нас, не претекстите, не подкупайте

  • Iceslab-инстансы, развёрнутые операторами

    Тестируйте у оператора, который их держит, а не у нас

  • Сторонние сервисы - Telegram и наши хостинг-провайдеры

    Применяются их собственные disclosure-программы

  • Физический доступ к нашим офисам или домам сотрудников

    Нет, просто нет

  • Чужие аккаунты или данные

    Используйте тестовый аккаунт - мы заведём его для вас

Как идёт disclosure

Пять шагов,
без сюрпризов.

  1. 01

    Пишите на security@icecompany.tech

    Включите: что, где, как воспроизвести. Скриншоты, скрипты, запросы/ответы - что есть.

  2. 02

    Подтверждаем в течение 1 рабочего дня

    Живой инженер читает ваш репорт и отвечает с ticket ID. Никакого автоответа.

  3. 03

    Триаж и severity в течение 3 рабочих дней

    Классифицируем баг, договариваемся о fix window и говорим, есть ли что обсудить. Вы в курсе.

  4. 04

    Фиксим, выкатываем и проверяем вместе

    Critical-проблемы: emergency-патч в течение 72 часов. Остальное - в ближайший релиз. Присылаем сборку на проверку.

  5. 05

    Публичный разбор, когда фикс уехал

    Публикуем в field notes, когда фикс развёрнут широко. Указываем ваше авторство (или анонимно, по вашему выбору) - можете стать соавтором технического разбора.

Зал славы

Будьте первым.

Пока отчётов нет.

Найдите что-то реальное - укажем вас здесь: имя, ник или анонимно, на ваш выбор.