I'm available for business trips to other cities for projects lasting a month or longer.
Уязвимости и обновления
Политика устранения уязвимостей, SLA, каналы информирования, механизм доставки обновлений
ООО «Рапид.Исследовательские системы»
Обновлено: март 2026
Политика устранения уязвимостей
При обнаружении уязвимости в компонентах платформы или используемых зависимостях, устранение производится в следующие сроки:
| Уровень | Оценка CVSS | Срок устранения | Способ доставки |
|---|---|---|---|
| Критический | ≥ 9.0 | 7 дней | Внеплановый hotfix |
| Высокий | 7.0 – 8.9 | 30 дней | Hotfix или ближайший релиз |
| Средний | 4.0 – 6.9 | 60 дней | Плановый релиз |
| Низкий | <4.0 | Следующий плановый релиз | Плановый релиз |
Каналы информирования
| Канал | Содержание | Периодичность |
|---|---|---|
| Сайт rapeed.ai/releases | История версий, описание изменений | При каждом выпуске |
| Email контактным лицам | Уведомление о критических уязвимостях и внеплановых обновлениях | По необходимости |
| Документация дистрибутива | Описание обновлённых компонентов и устранённых уязвимостей | При каждом выпуске |
Механизм доставки обновлений
Обновления доставляются в виде дистрибутива, включающего:
- Docker-образы всех компонентов платформы (упакованы в .tgz)
- Конфигурационные файлы (зашифрованы SOPS/AGE)
- Скрипты установки и настройки операционной системы
Процедура обновления
- Получение нового дистрибутива
- Запуск скрипта установки: загрузка образов, настройка ОС
- Запуск скрипта старта: обновление и перезапуск сервисов
- Автоматическая проверка работоспособности всех компонентов
Проверка целостности
- Каждый Docker-образ имеет digest (SHA256), неизменяемый идентификатор содержимого
- Конфигурация зашифрована SOPS/AGE, расшифровка только при наличии ключа
- Каждый контейнер содержит файл с датой сборки, идентификатором версии и ветки
Контроль уязвимостей
Собственный код
- Языки: Python, TypeScript, C++, Rust
- Зависимости проверяются при каждой сборке
- Контейнеры собираются на актуальных базовых образах
Внешние компоненты
Платформа использует следующие внешние компоненты с открытым исходным кодом. Версии регулярно обновляются:
| Компонент | Текущая версия | Назначение |
|---|---|---|
| PostgreSQL | 16.9 | Реляционная база данных |
| Keycloak | 26.x | Управление идентификацией и доступом |
| RabbitMQ | management | Очередь сообщений |
| Nginx | 1.29.1 | Обратный прокси-сервер |
| VictoriaLogs | 1.24.0 | Хранение журналов |
| Vector | 0.54.0 | Сбор и маршрутизация журналов |
| VictoriaMetrics | 1.138.0 | Хранение метрик |
| Grafana | 11.x | Мониторинг |
| OAuth2 Proxy | 7.14.3 | Аутентификация для мониторинга |
| Tempo | 2.10.0 | Трассировка запросов |
| cAdvisor | 0.56 | Метрики контейнеров |
Совместимость со сканированием
Поставка в виде Docker-контейнеров. Для сканирования (MaxPatrol и аналогичные) нужно:
- Список контейнеров с указанием базовых образов
- Сетевые параметры (IP, порты, протоколы)
- Учётная запись для доступа сканера к узлу
История обновлений внешних компонентов
| Версия платформы | Дата | Обновлённые компоненты |
|---|---|---|
| 1.1.2 | Март 2026 | PostgreSQL 16.6→16.9, Nginx 1.27→1.29, VictoriaLogs 1.15→1.24, Vector 0.42→0.54, VictoriaMetrics 1.106→1.138, OAuth2 Proxy 7.8→7.14, добавлен cAdvisor 0.56 |
| 1.1.0 | Февраль 2026 | Обновлена система управления идентификацией, обновлена ОС контейнеров до Ubuntu 24.04 |
| 1.0.0 | Ноябрь 2025 | Добавлены: Keycloak 26.x, PostgreSQL 16.x, RabbitMQ |
Контактная информация
| Вопрос | Контакт |
|---|---|
| Техническая поддержка | support@rapeed.ai |
| Информация об уязвимостях | security@rapeed.ai |
| Сайт | rapeed.ai |