Divulgación coordinada de vulnerabilidades.

Reportar una vulnerabilidad sensible

Para cualquiera de las siguientes clases, no abras un issue público:

• Bypass de autenticación o autorización.
• Exposición de datos del cliente o fuga cross-tenant.
• Ejecución remota de código.
• Compromiso de cadena de suministro (integridad de artefacto firmado, CI/CD).
• Debilidad criptográfica en nuestros protocolos.
• Hallazgos adversariales o de evasión de modelos contra modelos desplegados que afecten producción.
• Cualquier vulnerabilidad en pipelines de decisión autónoma.

Los fundadores leen security@ directamente. La rotación a un equipo dedicado de seguridad se anuncia en el changelog. La huella PGP se publica abajo.

Correo: [email protected]
Llave PGP: /.well-known/pgp-key.asc

Nuestros compromisos con quienes divulgan

• Acuse de recibo dentro de 24 horas de recepción.
• Scoping inicial dentro de 5 días hábiles.
• Cronograma de remediación comunicado dentro de 10 días hábiles.
• Divulgación coordinada al momento de fix-listo-para-despliegue.
• Safe harbour: sin persecución legal de investigación de buena fe; sin NDA requerido para divulgación.