Skip to content

Latest commit

 

History

History
39 lines (32 loc) · 4.07 KB

File metadata and controls

39 lines (32 loc) · 4.07 KB

Security Policy

Reporting vulnerabilities

GitHub పై ప్రైవేట్ సెక్యూరిటీ అడ్వైజరీని తెరవండి (https://github.com/diegosouzapw/OmniGlyph/security/advisories/new) లేదా మెయింటైనర్‌ను నేరుగా సంప్రదించండి (diegosouza.pw@outlook.com). ఎక్స్‌ప్లాయిట్ చేయదగిన వల్నరబిలిటీ కోసం బహిరంగ ఇష్యూ తెరవవద్దు.

Threat model (what OmniGlyph is)

OmniGlyph మీ క్లయింట్ (ఉదా. Claude Code) మరియు LLM APIల మధ్య ఒక లోకల్ ప్రాక్సీ. డిజైన్ ప్రకారం ఇది మీ సెషన్ కంటెంట్ మొత్తాన్ని మరియు మీ క్రెడెన్షియల్‌లను ట్రాన్సిట్‌లో చూస్తుంది. సంబంధిత సెక్యూరిటీ నిర్ణయాలు:

  • డిఫాల్ట్‌గా లూప్‌బ్యాక్‌కు బైండ్ అవుతుంది (127.0.0.1): డాష్‌బోర్డ్‌కు ఎలాంటి ప్రామాణీకరణ లేదు మరియు క్యాప్చర్ చేసిన సెషన్ కాంటెక్స్ట్‌ను (ఇమేజ్‌ల సోర్స్ టెక్స్ట్, టెలిమెట్రీ) సర్వ్ చేస్తుంది. HOST=0.0.0.0 ఒక స్పష్టమైన ఆప్ట్-ఇన్ మరియు ఇది ఆ మొత్తాన్నీ నెట్‌వర్క్‌కు బహిర్గతం చేస్తుంది — విశ్వసనీయమైన నెట్‌వర్క్‌లో మాత్రమే దీన్ని వాడండి.
  • క్రెడెన్షియల్స్: ప్రాక్సీ క్లయింట్ యొక్క auth హెడర్‌లను అప్‌స్ట్రీమ్‌కు ఫార్వర్డ్ చేస్తుంది మరియు వాటిని పర్సిస్ట్ చేయదు. env ద్వారా అందించిన కీలు (ANTHROPIC_API_KEY వగైరా) మెమరీలోనే ఉంటాయి.
  • లోకల్ టెలిమెట్రీ: ~/.omniglyph/events.jsonl ప్రతి రిక్వెస్ట్‌కు మెటాడేటాను (టోకెన్ కౌంట్‌లు, బాడీ హాష్‌లు) మరియు, 4xx ఎర్రర్‌లలో, కుదించిన బాడీ నమూనాలను కలిగి ఉంటుంది — ఈ ఫైల్‌ను సున్నితమైనదిగా పరిగణించండి.
  • ఇమేజ్‌గా మారిన కంటెంట్ lossy: బైట్-ఖచ్చితమైన విలువలు (సీక్రెట్‌లు, హాష్‌లు) ఎప్పుడూ ఇమేజ్ రీడ్‌లపై ఆధారపడకూడదు; పైప్‌లైన్ వాటిని టెక్స్ట్‌గా ఉంచుతుంది, కానీ బంగారు నియమం ఏమిటంటే: LLM కాంటెక్స్ట్‌లో సీక్రెట్‌లను ఉంచవద్దు.
  • సప్లై చెయిన్: pnpm-workspace.yaml ఏ కొత్త ప్యాకేజీకైనా 3 రోజుల minimumReleaseAgeను అమలు చేస్తుంది; కోర్‌కు ఒకే ఒక్క రన్‌టైమ్ డిపెండెన్సీ ఉంది.

Supported versions

కేవలం లేటెస్ట్ రిలీజ్ లైన్ (main / అత్యంత ఇటీవలి v1.x) మాత్రమే ఫిక్స్‌లను అందుకుంటుంది.