Если вы нашли уязвимость, пожалуйста, не публикуйте ее в открытом issue.

Используйте ответственный процесс раскрытия:

1. Откройте приватный vulnerability report через GitHub Security Advisories (если доступно в репозитории).
2. Если это недоступно, создайте issue с минимальной публичной информацией и пометкой security, без proof-of-concept и exploit-деталей.
3. Дождитесь подтверждения от мейнтейнеров перед любым публичным раскрытием.

Что включить в отчет:

• тип и краткое описание уязвимости;
• затронутые файлы/эндпоинты;
• шаги воспроизведения;
• оценка потенциального ущерба;
• возможный вариант исправления (если есть).

• Первичное подтверждение получения: до 72 часов.
• Предварительная оценка и triage: до 7 календарных дней.
• План исправления: по результатам severity-оценки.

Срок фактического исправления зависит от критичности и сложности изменений.

Наивысший приоритет:

• обход аутентификации/авторизации;
• RCE, SSRF, path traversal, SQL injection;
• утечка персональных данных или секретов;
• CSRF/XSS уязвимости с реальной эксплуатацией.

• Не коммитьте секреты (.env, ключи, сертификаты).
• Не ослабляйте существующие проверки валидации/CSRF/rate-limit без обоснования.
• Обязательно описывайте security-риск в PR при изменении auth/session/upload logic.