Divulgação coordenada de vulnerabilidades.

Reportar uma vulnerabilidade sensível

Para qualquer das classes a seguir, não abra um issue público:

• Bypass de autenticação ou autorização.
• Exposição de dados de cliente ou vazamento cross-tenant.
• Execução remota de código.
• Comprometimento de cadeia de suprimento (integridade de artefato assinado, CI/CD).
• Fraqueza criptográfica em nossos protocolos.
• Achados adversariais ou de evasão de modelos contra modelos em produção que afetem produção.
• Qualquer vulnerabilidade em pipelines de decisão autônoma.

Os fundadores leem security@ diretamente. A rotação para um time dedicado de segurança é anunciada no changelog. A impressão digital PGP é publicada abaixo.

E-mail: [email protected]
Chave PGP: /.well-known/pgp-key.asc

Nossos compromissos com quem divulga

• Confirmação de recebimento em até 24 horas.
• Escopo inicial em até 5 dias úteis.
• Cronograma de remediação comunicado em até 10 dias úteis.
• Divulgação coordenada no momento de fix-pronto-para-deploy.
• Safe harbour: sem persecução legal de pesquisa de boa-fé; sem NDA exigido para divulgação.