K
Cloud API keys
Gunakan provider token dengan scope sempit bila mungkin. Rotasi key yang muncul di log, screenshot, atau output test.
Model keamanan
Pahami kredensial yang dibutuhkan tool sebelum deploy.
PrivateDeploy mengotomatiskan infrastruktur sensitif. Perlakukan cloud API keys, SSH keys, password node, dan subscription link sebagai secret produksi.
S
Material SSH
Recovery DigitalOcean memakai pasangan key ed25519 terkelola dengan akses root ke droplets yang dibuat.
N
Kredensial node
Password protokol, UUID, Reality key, dan share link adalah secret.
L
Penyimpanan lokal
Provider token dan konfigurasi sensitif sebaiknya memakai OS keyring, bukan file plaintext.
Checklist keamanan rilis preview
Sebelum mendistribusikan build, selesaikan check ini untuk tag yang tepat.
Area
Gate
Hasil wajib
Secret scan
Wajib
Tidak ada API keys, private keys, tokens, password, link node, atau URL subscription dalam source atau artifacts.
Artefak rilis
Wajib
Setiap binary memiliki SHA256 checksum dan berasal dari commit/tag yang sama.
Cloud smoke tests
Per provider
Tandai provider verified hanya setelah create, deploy, connect, recover bila perlu, dan delete lulus.
Dukungan iOS
Kondisional
Tandai iOS build-required kecuali VPNCore dan entitlement tervalidasi pada device nyata.
Penanganan data
PrivateDeploy sebaiknya dievaluasi sebagai tool infrastruktur local-first.
Bukan layanan jaringan hosted
Project tidak menyediakan akses jaringan hosted atau server proxy bersama. Anda deploy node ke akun dan host yang Anda kontrol.
Secret tetap sensitif
Cloud API keys, SSH keys, password, UUID, dan subscription links tidak boleh ditempel ke issue publik.
Laporkan kerentanan
Gunakan GitHub issues untuk bug non-sensitif. Untuk laporan exploitable, gunakan private advisory bila tersedia.
Penggunaan bertanggung jawab
Gunakan PrivateDeploy hanya dengan infrastruktur dan akun yang Anda miliki atau diizinkan untuk dikelola. Tinjau ketentuan provider cloud sebelum deploy.
gate rilis lokal
bash scripts/check_versions.sh
scripts/secret_scan.sh