Disclosure policy

Если вы нашли security issue — пожалуйста, не пишите в публичный issue tracker. Свяжитесь по: [email protected] (PGP-fingerprint на странице /security).

Что мы обещаем

• Ответ в течение 48 часов
• Patch в течение 7 дней для critical / 30 дней для medium
• Public disclosure (с вашим credit, если хотите) после fix
• Bounty — за серьёзные issue мы платим (RCE / data leak / auth bypass)

Что не считается issue

• DoS через amplification (мы знаем про rate-limit issues)
• Issue в third-party libs, которые в зависимостях — пишите upstream