A segurança é uma prioridade máxima para o UNISOULS. Agradecemos o esforço de pesquisadores de segurança e de nossa comunidade por nos alertarem sobre vulnerabilidades.
Esta política descreve o processo para relatar vulnerabilidades de segurança e o que você pode esperar de nossa equipe.
Se você encontrar uma vulnerabilidade de segurança, siga estas diretrizes para nos relatar o problema de forma responsável:
- Não abra uma Issue pública no GitHub. A divulgação pública imediata pode colocar o projeto e seus usuários em risco.
- Envie um e-mail diretamente para os mantenedores do projeto no seguinte endereço:
- Inclua as seguintes informações no seu relatório:
- Uma descrição clara da vulnerabilidade (o tipo de ataque, o impacto potencial, etc.).
- Os passos exatos para reproduzir a vulnerabilidade.
- Quaisquer arquivos de configuração, logs ou exploits que você tenha usado.
- Qualquer versão do Godot ou sistema operacional relevante.
- Não divulgue a vulnerabilidade publicamente até que tenhamos tido tempo de analisá-la e lançar uma correção.
Após receber seu relatório, nossa equipe de segurança fará o seguinte:
- Confirmação: Você receberá uma confirmação de que seu relatório foi recebido em até 48 horas.
- Análise: Nossa equipe irá analisar a vulnerabilidade e determinar sua severidade e impacto.
- Comunicação: Manteremos você informado sobre o progresso da correção.
- Correção: Faremos o possível para emitir uma correção em até 30 dias, dependendo da complexidade do problema.
- Agradecimento: Após o lançamento da correção, você será devidamente creditado no changelog ou em um aviso de segurança (a menos que você prefira permanecer anônimo).
Nossa política é de divulgação coordenada.
A divulgação pública de uma vulnerabilidade (em blogs, redes sociais, etc.) só deve ocorrer após a correção ter sido lançada e distribuída aos usuários.
Agradecemos imensamente sua colaboração em manter o UNISOULS seguro!