Não abra issue pública para vulnerabilidades.
- Use GitHub Security Advisories (preferência).
- Ou envie email para:
contato@progesta.com.br(assunto:[SECURITY] EVO-API ...).
Inclua:
- Descrição da vulnerabilidade.
- Passos para reproduzir.
- Impacto estimado.
- Versões/branches afetadas.
- Confirmação de recebimento: até 72h.
- Triagem inicial: até 7 dias.
- Correção: prazo conforme severidade (Critical: 7d, High: 30d, Medium: 90d).
- Código deste repositório.
- Pipelines em
.github/workflows/. - Configuração de segurança documentada em
docs/architecture/cross-cutting/security.md.
- Vulnerabilidades em dependências de terceiros (reportar upstream — abrimos PR de atualização via Dependabot).
- Engenharia social, físico.
Reconhecemos quem reporta de forma responsável. Postmortems ficam em docs/audits/postmortems/.