Mantenemos activamente las siguientes versiones del proyecto:
| Version | Supported |
|---|---|
| 1.0.x | ✅ Fully supported |
| 0.9.x | ✅ Security updates only |
| < 0.9 | ❌ No longer supported |
NO abras un issue público. En su lugar, repórtala de manera responsable:
- Email: Envía detalles a
[email protected](si disponible) - GitHub: Usa Private vulnerability reporting
- Issue privado: Contacta directamente al maintainer
Por favor incluye:
- Descripción detallada del problema de seguridad
- Pasos para reproducir la vulnerabilidad
- Impacto potencial y severidad estimada
- Versiones afectadas del software
- Mitigaciones temporales (si las conoces)
| Acción | Tiempo Esperado |
|---|---|
| Confirmación inicial | 24-48 horas |
| Evaluación completa | 7 días |
| Parche disponible | 14-30 días |
| Divulgación pública | Después del parche |
- Vulnerabilidades del código fuente
- Problemas de configuración
- Dependencias con vulnerabilidades conocidas
- Inyecciones de código en el contenido
- Problemas de autenticación/autorización
- DDoS attacks
- Ingeniería social
- Vulnerabilidades en servicios de terceros (Vercel, GitHub)
- Problemas en navegadores específicos
- Rate limiting issues
- ✅ Mantén dependencias actualizadas
- ✅ Usa
pnpm auditregularmente - ✅ Evita hardcodear credenciales
- ✅ Valida todo input del usuario
- ✅ Implementa Content Security Policy
- ✅ Mantén Node.js actualizado
- ✅ Usa HTTPS en producción
- ✅ Revisa dependencias antes de instalar
- ✅ Configura correctamente variables de entorno
Agradecemos a todos los investigadores de seguridad que reporten vulnerabilidades de manera responsable. Los contribuidores serán reconocidos públicamente (si lo desean) una vez que el problema sea resuelto.
Para reportes de seguridad urgentes, contacta inmediatamente
