Релиз

Iceslab v1.0 - мульти-core VPN инфраструктура для операторов.

Открыть Iceslab

icecompany.tech/security

/ Документы|Документ 03 · security|v1 · 14 мая 2026

Безопасность.

Если вы нашли уязвимость в нашем софте, инфраструктуре или на этом сайте — расскажите. Мы отвечаем. Фиксим. Кредитим. Вот как.

Наша сторона договора

Safe harbour,
простыми словами.

  • Не подаём в суд за честные исследования

    Пока вы в рамках области ниже и не вредите сервису — вы действуете добросовестно.

  • Быстро подтверждаем и держим в курсе еженедельно

    Никаких чёрных дыр. Если перестали отвечать — напишите ещё раз, мы не «решили проигнорировать».

  • Публично указываем ваше авторство — если сами захотите

    Зал славы ниже. Имя, ник, ссылка — на ваше усмотрение.

  • Публикуем разбор, когда фикс уехал

    В field notes выходит история. Клиенты и сообщество учатся на ней. Если захотите — становитесь соавтором.

Область

Что входит,
что нет.

Две колонки. Баги из колонки 01 — кандидаты на кредит и спасибо. Цели из колонки 02 — не наша зона или закрыты.

В области — пожалуйста, тестируйте

  • +

    icecompany.tech (этот сайт)

    XSS, серверные мисконфиги, CVE в зависимостях

  • +

    Iceslab.icecompany.tech и staging.iceslab

    Auth, UI панели, API-эндпоинты, лицензионный сервер

  • +

    Open-core репозиторий Iceslab

    Code-level баги в протокольных раннерах, супервизоре, CLI

  • +

    Icepath Mini App

    Логика подписок, маршрутизация регионов, доставка конфигов

  • +

    VPN-ноды Icepath

    Auth bypass, утечка трафика, нарушение log-политики

  • +

    Email / DNS / mail-инфраструктура

    SPF/DKIM/DMARC, векторы захвата DNS

Вне области — не тестируйте

  • Объёмный DoS / DDoS

    Не вредите сервису, чтобы что-то доказать

  • Социальная инженерия команды

    Не фишите нас, не претекстите, не подкупайте

  • Iceslab-инстансы, развёрнутые операторами

    Тестируйте у оператора, который их держит, а не у нас

  • Сторонние сервисы — Telegram, Vercel, Hetzner

    Применяются их собственные disclosure-программы

  • Физический доступ к нашим офисам или домам сотрудников

    Нет, просто нет

  • Чужие аккаунты или данные

    Используйте тестовый аккаунт — мы заведём его для вас

Как идёт disclosure

Пять шагов,
без сюрпризов.

Среднее время до фикса

11 дней

От первого репорта до выкаченного фикса. Critical-серьёзность едет быстрее.

  1. 01

    Пишите на security@icecompany.tech

    Включите: что, где, как воспроизвести. Скриншоты, скрипты, запросы/ответы — что есть. PGP-шифрование приветствуется для чувствительных багов.

  2. 02

    Подтверждаем в течение 1 рабочего дня

    Живой инженер читает ваш репорт и отвечает с ticket ID. Никакого автоответа.

  3. 03

    Триаж и severity в течение 3 рабочих дней

    Классифицируем баг, договариваемся о fix window и говорим, есть ли что обсудить. Вы в курсе.

  4. 04

    Фиксим, выкатываем и проверяем вместе

    Critical-проблемы: emergency-патч в течение 72 часов. Остальное — в ближайший релиз. Присылаем сборку на проверку.

  5. 05

    Публичный разбор, когда фикс уехал

    Публикуем в field notes, когда фикс развёрнут широко. Указываем ваше авторство (или анонимно, по вашему выбору) — можете стать соавтором технического разбора.

PGP-ключ

Шифруйте чувствительные баги.

Отпечаток ключаA6F7 3D1E 9B40 C82F ── 5E14 88B0 77C3 A901 E2D5
Создан2026-01-14 · истекает 2028-01-14
Скачатьicecompany.tech/.well-known/security.asc

Опубликован и закреплён на keys.openpgp.org, а отпечаток зафиксирован в каждом release-теге репозитория Iceslab.

Зал славы

Те, кто уже помог.

  • 2026-04@nyx-researchIceslab — утечка admin-токена через TRACE
  • 2026-03Marina A.Icepath — обход CSP в Mini App
  • 2026-02анонимIceslab — race condition в ротации ключей
  • 2026-02@k.lemonСайт — несоответствие DKIM
Разборы · скоро