이 문서는 daiso-mcp 프로젝트의 보안 취약점 제보 및 대응 절차를 설명합니다.

현재 보안 업데이트는 아래 범위에 대해 우선 제공됩니다.

보안 관련 이슈는 공개 이슈로 등록하지 말고, 아래 방식으로 비공개 제보해주세요.

1. GitHub 저장소의 Security 탭에서 Report a vulnerability 사용
2. Security 탭 사용이 어려운 경우, 저장소 관리자에게 비공개 채널로 전달

제보 시 아래 정보를 포함해주시면 대응이 빨라집니다.

• 취약점 개요 및 영향 범위
• 재현 절차 (가능하면 최소 재현 코드 포함)
• 예상되는 공격 시나리오
• 임시 우회 방법(있는 경우)

• 접수 확인: 일반적으로 72시간 이내
• 1차 분류/심각도 평가: 일반적으로 7일 이내
• 수정 일정 안내: 일반적으로 14일 이내
• 패치 배포: 취약점 심각도와 수정 난이도에 따라 순차 배포

진행 상황은 제보 채널을 통해 주기적으로 공유합니다.

• 제보자와 협의 후 수정 완료 시점에 맞춰 공개를 진행합니다.
• 패치 전 상세 익스플로잇 코드는 공개하지 않습니다.
• 제보자 크레딧 표기는 요청 시 반영합니다.

프로젝트 기여 시 다음을 반드시 지켜주세요.

• API 키, 토큰, 비밀번호, .env 파일을 커밋하지 않기
• 민감 정보가 로그에 남지 않도록 확인하기
• 외부 입력 검증 및 에러 처리 누락 방지하기

감사합니다. 책임 있는 제보는 프로젝트와 사용자 모두의 안전에 큰 도움이 됩니다.