Este documento descreve como relatar vulnerabilidades e detalhes da política de segurança deste projeto.
Se você encontrar uma falha de segurança ou comportamento inesperado que possa representar risco, não abra uma issue pública.
Em vez disso, envie um e-mail para: [email protected]
Ao relatar, inclua sempre que possível:
- Descrição clara da vulnerabilidade;
- Etapas para reprodução;
- Comportamento esperado e comportamento observado;
- Possíveis impactos;
- Versão do projeto afetada;
- Logs ou código de prova de conceito (se aplicável);
Todos os relatórios serão tratados com confidencialidade e prioridade. Você receberá uma confirmação em até 5 dias úteis.
| Etapa | Tempo estimado |
|---|---|
| Confirmação do recebimento | até 5 dias úteis |
| Análise técnica | até 10 dias úteis |
| Correção e mitigação | variável conforme impacto |
| Divulgação pública segura | após patch ou aviso prévio |
Relatos válidos incluem, mas não se limitam a:
- Execução remota de código
- Acesso não autorizado a dados
- Escalada de privilégios
- Bypass de autenticação ou autorização
- Falhas XSS, CSRF, SSRF, etc.
Relatos fora de escopo:
- Vulnerabilidades em dependências de terceiros (sem impacto direto).
- Problemas relacionados a ambientes de desenvolvimento ou testes isolados.
- Auto-DDoS ou negação de serviço com requisitos fora do uso padrão.
Este projeto adota uma política de divulgação responsável. Agradecemos e reconhecemos os pesquisadores que nos ajudam a manter este ambiente seguro.
Contribuições relevantes podem ser reconhecidas publicamente com menção (se autorizado).