| Versión | Soportada |
|---|---|
| 1.0.x | ✅ Sí |
| < 1.0 | ❌ No |
Si descubrís una vulnerabilidad de seguridad en blue-arrow, por favor reportala de la siguiente manera:
-
No abras un issue público - Las vulnerabilidades deben reportarse de forma privada.
-
Enviar email a:
hanzzelcorp@gmail.comIncluir:
- Descripción del problema
- Pasos para reproducir
- Impacto potencial
- Sugerencias de mitigación (si las tenés)
-
Esperar respuesta - Intentaremos responder dentro de 5 días hábiles.
-
Si no recibís respuesta en ese plazo, podés reenviar el reporte al mismo correo con el asunto:
FOLLOW-UP SECURITY REPORT - blue-arrow -
Divulgación coordinada - Una vez solucionado, publicaremos un advisory con crédito al reportero (si así lo desea).
Vulnerabilidades relevantes incluyen:
- Exposición de secretos o credenciales
- Escapes de sandbox en workers
- Inyección de código en el runtime
- Problemas en la validación de seguridad (safety-guard)
- Bypass de circuitos de aprobación
- Issues en dependencias conocidas (reportar al proyecto upstream)
- Problemas en configuración por parte del usuario
- Exposición intencional de datos por mala configuración
- Nunca commitear tokens o credenciales
- Usar
.envpara configuración sensible - Revisar aprobaciones antes de confirmar acciones
- Mantener dependencias actualizadas
- Canal de reporte:
hanzzelcorp@gmail.com - Idioma: Español o inglés
Gracias por ayudar a mantener el proyecto seguro. 🔒