K
Cloud API keys
Используйте provider tokens с узким scope. Rotate любой key, который попал в logs, screenshots или test output.
Модель безопасности
Поймите, какие credentials нужны инструменту перед deploy.
PrivateDeploy автоматизирует чувствительную инфраструктуру. Cloud API keys, SSH keys, node passwords и subscription links считаются production secrets.
S
SSH material
DigitalOcean recovery использует managed ed25519 keypair с root-доступом к созданным droplets.
N
Node credentials
Protocol passwords, UUIDs, Reality keys и share links — secrets.
L
Local storage
Provider tokens и sensitive config должны использовать OS keyring storage, а не plaintext files.
Safety checklist preview-релиза
Перед распространением build выполните эти проверки для exact tag.
Область
Gate
Требуемый результат
Secret scan
Обязательно
В source или artifacts нет API keys, private keys, tokens, passwords, node links или subscription URLs.
Release artifacts
Обязательно
Каждый binary имеет SHA256 checksum и происходит из того же commit/tag.
Cloud smoke tests
По провайдеру
Провайдер считается verified только после create, deploy, connect, recover если нужно, и delete.
iOS support
Условно
Помечайте iOS как build-required, пока VPNCore и entitlements не проверены на реальном устройстве.
Обработка данных
PrivateDeploy следует оценивать как local-first infrastructure tool.
Не hosted network service
Проект не предоставляет hosted network access или общие proxy servers. Вы deploy nodes в accounts и hosts, которые контролируете.
Secrets остаются чувствительными
Cloud API keys, SSH keys, passwords, UUIDs и subscription links не следует вставлять в public issues.
Сообщить об уязвимости
Для non-sensitive bugs используйте GitHub issues. Для exploitable reports используйте private advisory при наличии.
Ответственное использование
Используйте PrivateDeploy только с infrastructure и accounts, которыми вы владеете или имеете право управлять. Проверьте условия cloud provider перед deploy.
local release gate
bash scripts/check_versions.sh
scripts/secret_scan.sh