Безопасность начинается с границ

Поскольку 301.st работает через credentials и доступ провайдеров, которые предоставляют клиенты, наша security-модель строится вокруг ясных границ, scoped permissions и минимизации лишнего доверия.

Продукт должен упрощать операции, не заставляя команды отказываться от владения инфраструктурой и не лишая их видимости того, что именно они авторизуют.

Как мы смотрим на доступ

  • Используем scoped credentials и права провайдеров везде, где это позволяет workflow.
  • Относимся к клиентской инфраструктуре как к клиентской, а не как к чему-то, что 301.st должен тихо забрать под свой контроль.
  • Держим важные account- и integration-действия достаточно видимыми для проверки и расследования при необходимости.
  • Снижаем скрытую связанность между функциями продукта и доступом к провайдерам.

Что мы защищаем

  • Доступ к аккаунту и authentication-flow.
  • Credentials интеграций и другие чувствительные данные соединений.
  • Конфигурационные данные проектов, сайтов, редиректов и связанных workflow.
  • Саму платформу от злоупотреблений, явно вредоносной активности и попыток несанкционированного доступа.

Практические меры безопасности

  • Шифрованный транспорт для веб-трафика и аутентифицированной сервисной коммуникации.
  • Работа с credentials, спроектированная так, чтобы ограничивать лишнюю экспозицию и по возможности уменьшать долгоживущие доверительные связи.
  • Разумное логирование и мониторинг account-, integration- и операционных событий.
  • Постоянный пересмотр публичных поверхностей, зависимостей и изменений продукта по мере развития платформы.

Responsible disclosure

Если вам кажется, что вы нашли security-проблему, пожалуйста, сообщите о ней приватно до публичного раскрытия, чтобы у нас была честная возможность проверить и ответственно исправить ее.

  • Отправляйте отчеты на: security@301.st
  • Пожалуйста, включите: затронутую страницу или flow, шаги воспроизведения и предполагаемое воздействие.
  • Пожалуйста, избегайте: доступа к данным, которыми вы не владеете, нарушения работы сервиса или расширения тестирования дальше разумно необходимого для демонстрации проблемы.

Что мы просим от клиентов

  • Защищать собственные account credentials и внутренние процессы доступа.
  • Использовать provider tokens и разрешения, соответствующие минимальному доступу, который действительно нужен workflow.
  • Ротировать или отзывать credentials при изменении состава команды, risk posture или политики провайдера.
  • Внимательно ревьюить продакшен-изменения, особенно если они могут влиять на маршрутизацию или поведение инфраструктуры.

Нужно связаться с нами?

По вопросам безопасности пишите на security@301.st. По вопросам приватности смотрите Политику конфиденциальности. По более широким продуктовым вопросам откройте Документацию или страницу Контакты.

Последнее обновление: 5 апреля 2026