# Security Policy 이 문서는 `daiso-mcp` 프로젝트의 보안 취약점 제보 및 대응 절차를 설명합니다. ## 지원 범위 현재 보안 업데이트는 아래 범위에 대해 우선 제공됩니다. | 버전/브랜치 | 지원 여부 | | :------------------------- | :-------: | | `main` (최신 커밋) | ✅ | | 과거 커밋/포크/개별 수정본 | ❌ | ## 취약점 제보 방법 보안 관련 이슈는 공개 이슈로 등록하지 말고, 아래 방식으로 비공개 제보해주세요. 1. GitHub 저장소의 **Security** 탭에서 **Report a vulnerability** 사용 2. Security 탭 사용이 어려운 경우, 저장소 관리자에게 비공개 채널로 전달 제보 시 아래 정보를 포함해주시면 대응이 빨라집니다. - 취약점 개요 및 영향 범위 - 재현 절차 (가능하면 최소 재현 코드 포함) - 예상되는 공격 시나리오 - 임시 우회 방법(있는 경우) ## 대응 프로세스 - 접수 확인: 일반적으로 72시간 이내 - 1차 분류/심각도 평가: 일반적으로 7일 이내 - 수정 일정 안내: 일반적으로 14일 이내 - 패치 배포: 취약점 심각도와 수정 난이도에 따라 순차 배포 진행 상황은 제보 채널을 통해 주기적으로 공유합니다. ## 공개 정책 - 제보자와 협의 후 수정 완료 시점에 맞춰 공개를 진행합니다. - 패치 전 상세 익스플로잇 코드는 공개하지 않습니다. - 제보자 크레딧 표기는 요청 시 반영합니다. ## 보안 모범 사례 프로젝트 기여 시 다음을 반드시 지켜주세요. - API 키, 토큰, 비밀번호, `.env` 파일을 커밋하지 않기 - 민감 정보가 로그에 남지 않도록 확인하기 - 외부 입력 검증 및 에러 처리 누락 방지하기 감사합니다. 책임 있는 제보는 프로젝트와 사용자 모두의 안전에 큰 도움이 됩니다.