Gracias por reportar problemas de seguridad. Tu colaboración es crítica para mantener la integridad del proyecto.

Política de reportes

• Para vulnerabilidades críticas que afecten confidencialidad, integridad o disponibilidad, por favor reporta de forma privada:
  • Correo de contacto del proyecto: security@sharedsocietyproject.example (SUSTITUIR)
  • Alternativamente, crea un reporte en GitHub Security Advisory (si está habilitado).
• En el reporte, incluye:
  • Resumen del problema
  • Pasos para reproducirlo / PoC
  • Versiones afectadas
  • Impacto estimado

Protocolo de respuesta

• Acknowledgement: contestaremos en un plazo de 72 horas indicando que hemos recibido el reporte.
• Evaluación inicial: 7 días hábiles para evaluar gravedad y plan de mitigación (si es posible).
• Coordinación: proporcionaremos estimación de tiempo y pasos a seguir.
• Divulgación: una vez mitigado, coordinaremos el anuncio público y la asignación de CVE si aplica.

Contacto con PGP (opcional)

• Si deseas enviar información cifrada, usa la clave PGP del mantenedor del proyecto:
  • Fingerprint: (SUSTITUIR)
  • Instrucciones: firma y/o cifra el mensaje con la clave indicada.

Buenas prácticas para contribuyentes

• No publiques detalles de vulnerabilidades en issues públicos hasta que exista un plan de mitigación.
• Evita incluir claves privadas o credenciales reales en PRs o issues.
• Usa secretos/vars de entorno en CI; no los empaquetes en repositorio.

Divulgación y CVE

• Para vulnerabilidades de severidad alta/critica, procuraremos asignar un CVE y coordinar notificación a usuarios y dependencias afectadas.

Recompensas

• Actualmente no hay programa de bug bounty formal. Si se implementa, se anunciará en README y SECURITY.md.

Gracias por ayudar a mantener el proyecto seguro.