GreedyLabs는 MVP 속도와 더불어 사용자/데이터 보안을 최우선 가치로 둡니다.
취약점을 발견하신 경우, 아래 절차에 따라 비공개로 제보해 주세요.

공개 이슈에 올리지 마세요.
다음으로 제보해 주세요:

• 📧 Email: support@greedylabs.kr

가능하다면 아래 정보를 포함해 주세요:

• 영향을 받는 리포지토리/버전/환경
• 취약점 설명과 재현 절차
• 예상 영향 범위(권한 상승, 정보 유출 등)
• PoC/스크린샷/로그(가능한 경우)

PII(개인정보)나 비밀키 등 민감 정보는 첨부하지 마시고, 필요 시 마스킹하여 공유해 주세요.

• 제보를 수신하면 영업일 기준 10일 내 1차 응답을 드리겠습니다.
• 재현 여부를 검토한 뒤 대응 계획 및 일정을 공유합니다.
• 합의된 일정 이전에 세부 내용을 공개하지 않도록 Coordinated Disclosure를 요청드릴 수 있습니다.
• 패치 릴리스 후 적절한 범위에서 기여를 감사 표시(Credit) 하겠습니다(원치 않으시면 익명 처리).

범위 예시

• 인증/인가 우회, 권한 상승, 민감 정보 노출
• 원격 코드 실행, 명령 주입
• 중요 비즈니스 로직 우회(결제, 접근 제어 등)
• 잘못된 CORS/CSRF/SSR 등으로 인한 보안 취약

비범위 예시

• 최신 브라우저에서만 재현되는 미세한 UI/렌더링 이슈
• 명시적으로 비공개가 아닌 공개 정보의 노출 주장
• 사용자가 루트/관리자 권한을 이미 보유한 환경에서만 가능한 이슈
• 서드파티 서비스/라이브러리 고유 취약점(원 프로젝트에 보고 필요)

• 실제 사용자 데이터에 영향을 주지 않도록 테스트 범위를 최소화해 주세요.
• 서비스 가용성 저하를 유발하는 행위(대량 트래픽, DoS, 스캔 남발)는 자제해 주세요.
• 실서버 대신 테스트/샌드박스 환경을 제공할 수 있으니 필요 시 문의해 주세요.

• 선의의 보안 연구와 **책임 있는 공개(Responsible Disclosure)**를 환영합니다.
• 합리적 선에서 시스템 가용성·데이터 무결성·기밀성을 침해하지 않으면서 위 가이드에 따라 제보한 경우, GreedyLabs는 선의의 보안 연구 행위에 대해 법적 조치 대신 협력적 해결을 우선합니다.

• 영향도(High/Critical) 이슈는 우선 패치하고, 필요 시 임시 완화책을 제공합니다.
• 보안 공지는 릴리스 노트 또는 리포지토리 공지를 통해 공유합니다.

안전하고 신뢰할 수 있는 제품을 만드는데 도움 주셔서 감사합니다.
— GreedyLabs