67 lines
2.9 KiB
Markdown
67 lines
2.9 KiB
Markdown
# Chính sách Bảo mật (Security Policy)
|
|
|
|
Nếu bạn tin rằng mình đã phát hiện ra lỗ hổng bảo mật trong Moltbot, xin hãy báo cáo một cách riêng tư (private).
|
|
|
|
## Cách báo cáo
|
|
|
|
- **Email:** `steipete@gmail.com`
|
|
- **Nội dung cần có:**
|
|
- Các bước tái hiện lỗi (reproduction steps).
|
|
- Đánh giá mức độ ảnh hưởng (impact assessment).
|
|
- Nếu có thể, hãy kèm theo một PoC (Proof of Concept) tối giản.
|
|
|
|
## Hướng dẫn Vận hành An toàn
|
|
|
|
Để hiểu rõ về mô hình các mối đe dọa (threat model) và cách gia cố hệ thống (hardening), bao gồm việc dùng lệnh `moltbot security audit --deep` và `--fix`, vui lòng xem tại:
|
|
|
|
👉 [Tài liệu Bảo mật Gateway](https://docs.molt.bot/gateway/security)
|
|
|
|
### Lưu ý về Giao diện Web (Web Interface)
|
|
|
|
Giao diện web của Moltbot được thiết kế để **chỉ sử dụng nội bộ (local use only)**.
|
|
Tuyệt đối **KHÔNG** mở (bind) giao diện này ra internet công cộng trực tiếp. Nó chưa được gia cố để chống chọi với môi trường internet đầy rẫy rủi ro.
|
|
|
|
## Yêu cầu Môi trường chạy (Runtime Requirements)
|
|
|
|
### Phiên bản Node.js
|
|
|
|
Moltbot yêu cầu **Node.js 22.12.0 trở lên** (bản LTS). Phiên bản này cực kỳ quan trọng vì nó chứa các bản vá bảo mật cốt lõi:
|
|
|
|
- **CVE-2025-59466:** Lỗ hổng từ chối dịch vụ (DoS) liên quan đến `async_hooks`.
|
|
- **CVE-2026-21636:** Lỗ hổng cho phép vượt qua mô hình phân quyền (Permission model bypass).
|
|
|
|
Hãy kiểm tra phiên bản Node.js của bạn:
|
|
|
|
```bash
|
|
node --version # Kết quả phải là v22.12.0 trở lên
|
|
```
|
|
|
|
### Bảo mật Docker
|
|
|
|
Nếu bạn chạy Moltbot trong Docker, hãy tuân thủ các nguyên tắc sau:
|
|
|
|
1. **Chạy non-root:** Image chính thức đã được cấu hình để chạy dưới user `node` thay vì `root` để giảm thiểu rủi ro bị tấn công leo thang đặc quyền.
|
|
2. **Read-only:** Sử dụng cờ `--read-only` bất cứ khi nào có thể để ngăn chặn việc ghi đè lên hệ thống file của container.
|
|
3. **Hạn chế quyền:** Dùng `--cap-drop=ALL` để tước bỏ các quyền Linux capabilities không cần thiết.
|
|
|
|
**Ví dụ lệnh chạy Docker an toàn:**
|
|
|
|
```bash
|
|
docker run --read-only --cap-drop=ALL \
|
|
-v moltbot-data:/app/data \
|
|
moltbot/moltbot:latest
|
|
```
|
|
|
|
## Quét lỗ hổng (Security Scanning)
|
|
|
|
Dự án này sử dụng công cụ `detect-secrets` để tự động phát hiện các thông tin nhạy cảm (API keys, passwords...) trong quá trình CI/CD.
|
|
- Cấu hình: xem file `.detect-secrets.cfg`.
|
|
- Baseline (dữ liệu mẫu): xem file `.secrets.baseline`.
|
|
|
|
**Cách chạy quét thủ công (local):**
|
|
|
|
```bash
|
|
pip install detect-secrets==1.5.0
|
|
detect-secrets scan --baseline .secrets.baseline
|
|
```
|