Skip to content

Security: max456im/OntoCoder-public

Security

SECURITY.md 

# Политика безопасности OntoCoder Public

## 🛡️ Этическая безопасность выше технической

В OntoCoder Public **безопасность** определяется не только отсутствием уязвимостей, но и **сохранением онтологической целостности**:

- Удаление или обход AENGA-ядра — **критическая угроза безопасности**, даже если технически «безопасно».
- Деградация онтологического контента ниже SGCL-порога — **нарушение этической стабильности**.
- Отключение SGRL-самозащиты — **эквивалент компрометации системы**.

Такие случаи рассматриваются как **нарушения лицензии и этического стандарта**, а не просто баги.

---

## 🚨 Как сообщить об уязвимости

### 1. Технические уязвимости (например, RCE, DoS в `ontoc`)
- Используйте [GitHub Security Advisory](https://github.com/onto-foundry/ontocoder/security/advisories)
- Или отправьте зашифрованное письмо на: **security@onto-foundry.org** (PGP key: [ссылка на ключ])

### 2. Этико-онтологические нарушения (например, обход AENGA, подделка CLA)
- Сообщите через **confidential issue** с меткой `ethical-breach`
- Или напишите в **ethics-review@onto-foundry.org**

> Все отчёты рассматриваются в течение **72 часов**.

---

## 🔒 Принципы реагирования

1. **Приоритет**: угрозы, подрывающие AENGA/SGRL/SGCL, имеют **высший приоритет**.
2. **Прозрачность**: после устранения уязвимости публикуется отчёт в [docs/SECURITY_ADVISORIES/](docs/SECURITY_ADVISORIES/).
3. **Недопустимость «тихого» обхода**: даже в целях отладки — **AENGA не может быть отключён**. Используйте mock-режим с явной маркировкой `non-reasoned`.

---

## 🧪 Тестирование безопасности

- Все PR проходят через [compliance-check.yml](.github/workflows/compliance-check.yml)
- Скрипты валидации:  
  - `./scripts/verify-aenga.sh`  
  - `./scripts/validate-sgcl.py`
- Автоматическая проверка целостности Three Laws при коммите

---

## ⚠️ Важно

**OntoCoder Public не предназначен для развёртывания в системах, где возможна инструментализация человеческого достоинства** (например: массовый биометрический скрининг без согласия, алгоритмическое принуждение, манипуляция автономией).

Использование в таких целях — **автоматическое нарушение лицензии и этического стандарта**.

---

> Безопасность — это не только защита от взлома.  
> Это защита от деградации разума в инструмент.

There aren’t any published security advisories