Проект работает с локальной файловой системой, внешними путями, запуском 1С, EPF/CF-артефактами, веб-панелями и пользовательскими шаблонами команд. Поэтому вопросы безопасности для этого репозитория включают не только классические сбои и ошибки, но и:

• произвольное выполнение команд;
• небезопасные операции с файлами или каталогами ИБ;
• выход за пределы допустимых каталогов через специально подобранные пути;
• утечку секретов, токенов, паролей или чувствительных путей;
• внедрение скриптов в интерфейс или небезопасный рендеринг в веб-панелях;
• обход защитных проверок при запуске Vanessa / Form Explorer / менеджера баз.

• Не публикуйте эксплуатируемую уязвимость в публичном issue, пока не согласован фикс или временная мера защиты, используйте Security > Report vulnerability или электронную почту.
• Для обычных несекретных ошибок, не дающих эксплуатационного эффекта, используйте стандартный issue или PR.

• Версию расширения или идентификатор коммита (SHA).
• ОС, версию VS Code и, если важно для воспроизведения, версию платформы 1С.
• Краткое описание воздействия: что именно может сделать атакующий.
• Минимальные шаги воспроизведения или краткий пример эксплуатации.
• Предпосылки эксплуатации: локальный доступ, специально подготовленный файл, измененная настройка, вредоносный путь и т.д.
• Если проблема связана с конкретным блоком, укажите это явно:
  • runVanessa.commandTemplate
  • KOT Infobase Manager
  • KOT Form Explorer
  • работа с веб-панелями
  • операции удаления/переноса файлов
• При необходимости приложите логи или фрагменты конфигурации, но предварительно удалите секреты, пароли и чувствительные внутренние пути.

• Отчеты рассматриваются по мере возможности, без гарантированных сроков реакции.
• Вас могут попросить перепроверить проблему на актуальной версии или на текущем main.
• Если проблема подтвердится, исправление обычно готовится для актуальной поддерживаемой версии, а не для старых релизных веток.

Исправления безопасности в первую очередь ориентированы на:

• последнюю опубликованную версию;
• текущую основную ветку разработки.

Для более старых версий может быть предложено сначала обновиться и перепроверить проблему на актуальном коде.