Iceslab v0.1.8 - open-source панель оператора под AGPL-3.0. Первый релиз 2026-05-19, актуальная v0.1.8 от 2026-06-20.
Открыть Iceslab →icecompany.tech/security
Безопасность.
Если вы нашли уязвимость в нашем софте, инфраструктуре или на этом сайте - расскажите. Мы отвечаем. Фиксим. Кредитим. Вот как.
Safe harbour,
простыми словами.
- ✓
Не подаём в суд за честные исследования
Пока вы в рамках области ниже и не вредите сервису - вы действуете добросовестно.
- ✓
Быстро подтверждаем и держим в курсе еженедельно
Никаких чёрных дыр. Если перестали отвечать - напишите ещё раз, мы не «решили проигнорировать».
- ✓
Публично указываем ваше авторство - если сами захотите
Зал славы ниже. Имя, ник, ссылка - на ваше усмотрение.
- ✓
Публикуем разбор, когда фикс уехал
В field notes выходит история. Клиенты и сообщество учатся на ней. Если захотите - становитесь соавтором.
Что входит,
что нет.
Две колонки. Баги из колонки 01 - кандидаты на кредит и спасибо. Цели из колонки 02 - не наша зона или закрыты.
В области - пожалуйста, тестируйте
- +
icecompany.tech (этот сайт)
XSS, серверные мисконфиги, CVE в зависимостях
- +
Панель Iceslab + staging-инстансы
Auth, UI панели, API-эндпоинты
- +
Open-core репозиторий Iceslab
Code-level баги в протокольных раннерах, супервизоре, CLI
- +
Icepath Mini App
Логика подписок, маршрутизация регионов, доставка конфигов
- +
VPN-ноды Icepath
Auth bypass, утечка трафика, нарушение log-политики
- +
Email / DNS / mail-инфраструктура
SPF/DKIM/DMARC, векторы захвата DNS
Вне области - не тестируйте
- ✕
Объёмный DoS / DDoS
Не вредите сервису, чтобы что-то доказать
- ✕
Социальная инженерия команды
Не фишите нас, не претекстите, не подкупайте
- ✕
Iceslab-инстансы, развёрнутые операторами
Тестируйте у оператора, который их держит, а не у нас
- ✕
Сторонние сервисы - Telegram и наши хостинг-провайдеры
Применяются их собственные disclosure-программы
- ✕
Физический доступ к нашим офисам или домам сотрудников
Нет, просто нет
- ✕
Чужие аккаунты или данные
Используйте тестовый аккаунт - мы заведём его для вас
Пять шагов,
без сюрпризов.
- 01
Пишите на security@icecompany.tech
Включите: что, где, как воспроизвести. Скриншоты, скрипты, запросы/ответы - что есть.
- 02
Подтверждаем в течение 1 рабочего дня
Живой инженер читает ваш репорт и отвечает с ticket ID. Никакого автоответа.
- 03
Триаж и severity в течение 3 рабочих дней
Классифицируем баг, договариваемся о fix window и говорим, есть ли что обсудить. Вы в курсе.
- 04
Фиксим, выкатываем и проверяем вместе
Critical-проблемы: emergency-патч в течение 72 часов. Остальное - в ближайший релиз. Присылаем сборку на проверку.
- 05
Публичный разбор, когда фикс уехал
Публикуем в field notes, когда фикс развёрнут широко. Указываем ваше авторство (или анонимно, по вашему выбору) - можете стать соавтором технического разбора.
Будьте первым.
Пока отчётов нет.
Найдите что-то реальное - укажем вас здесь: имя, ник или анонимно, на ваш выбор.