Usamos este documento para informar quais versões do nosso projeto são atualmente suportadas com atualizações de segurança.

• Suporte Ativo: Recebe todas as correções de bugs e atualizações de segurança
• Suporte de Segurança: Recebe apenas patches de segurança críticos
• Suporte Parcial: Apenas vulnerabilidades críticas (CVSS ≥ 8.0)
• Fim do Suporte: Não recebe mais atualizações

⚠️ NÃO reporte vulnerabilidades de segurança através de issues públicas.

Se você descobriu uma vulnerabilidade de segurança, por favor, nos ajude a corrigi-la de forma responsável.

Envie um email para: security@[SEU_DOMINIO].com

Use o sistema de Security Advisories do GitHub

• PGP Key ID: [PGP_KEY_ID_AQUI]
• Signal: [NUMERO_SIGNAL_AQUI]
• Discord: [USUARIO_DISCORD_AQUI]

Por favor, inclua as seguintes informações em seu relatório:

• Tipo de vulnerabilidade (ex: SQL injection, XSS, CSRF, etc.)
• Componente afetado (ex: API, frontend, banco de dados)
• Versões afetadas
• Severidade estimada (Baixa/Média/Alta/Crítica)

• Descrição detalhada da vulnerabilidade
• Passos para reproduzir o problema
• Proof of Concept (PoC) se disponível
• Impacto potencial da exploração
• Condições necessárias para exploração

• Sistema operacional
• Versão do navegador (se aplicável)
• Configuração específica necessária

**Tipo de Vulnerabilidade:**
[SQL Injection / XSS / CSRF / etc.]

**Componente Afetado:**
[API endpoint / Frontend component / etc.]

**Versões Afetadas:**
[1.0.0 - 2.1.0]

**Severidade:**
[Crítica / Alta / Média / Baixa]

**Descrição:**
[Descrição detalhada da vulnerabilidade]

**Passos para Reproduzir:**
1. [Passo 1]
2. [Passo 2]
3. [Passo 3]

**Proof of Concept:**
[Código ou screenshots demonstrando a vulnerabilidade]

**Impacto Potencial:**
[Descrição do que um atacante poderia fazer]

**Mitigação Sugerida:**
[Se você tem sugestões de como corrigir]

**Ambiente de Teste:**
- OS: [Windows 10 / Ubuntu 20.04 / etc.]
- Browser: [Chrome 96 / Firefox 94 / etc.]
- Versão do software: [2.1.0]

• Confirmamos o recebimento do seu relatório
• Atribuímos um ID de tracking
• Fornecemos um cronograma inicial

• Validamos e reproduzimos a vulnerabilidade
• Avaliamos o impacto e severidade
• Determinamos as versões afetadas

• Crítica: 1-3 dias
• Alta: 3-7 dias
• Média: 7-14 dias
• Baixa: 14-30 dias

• Revisão interna da correção
• Testes de segurança
• Validação da correção

• Preparação do patch
• Coordenação da divulgação pública
• Publicação do security advisory

• Monitoramento de aplicação do patch
• Análise de lições aprendidas
• Melhorias no processo

Pesquisadores que reportam vulnerabilidades válidas são reconhecidos em nosso Security Hall of Fame (com seu consentimento).

• Vulnerabilidade válida confirmada por nossa equipe
• Divulgação responsável seguindo nossas diretrizes
• Relatório de qualidade com informações suficientes

Valores são apenas exemplos - ajuste conforme sua realidade

• Input Validation: Sempre validar e sanitizar inputs
• Authentication: Implementar autenticação robusta
• Authorization: Verificar permissões adequadamente
• Encryption: Usar criptografia forte para dados sensíveis
• Logging: Implementar logs de segurança adequados

• Validação de entrada implementada
• Sanitização de saída aplicada
• Controles de autenticação/autorização verificados
• Dados sensíveis protegidos
• Dependências atualizadas e seguras

• Mantenha atualizado: Use sempre a versão mais recente
• Senhas fortes: Use senhas únicas e complexas
• 2FA: Habilite autenticação de dois fatores quando disponível
• Redes seguras: Evite redes WiFi públicas para operações sensíveis
• Backups: Mantenha backups regulares de dados importantes

# Exemplo de configuração segura
security:
  https_only: true
  hsts_max_age: 31536000
  csp_enabled: true
  xss_protection: true
  frame_options: "DENY"
  content_type_nosniff: true

Strict-Transport-Security: max-age=31536000; includeSubDomains
Content-Security-Policy: default-src 'self'
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin

• Tempo médio de acknowledgment: 18 horas
• Tempo médio de correção crítica: 2.3 dias
• Tempo médio de correção alta: 5.1 dias
• Taxa de vulnerabilidades válidas: 73%

• Total de relatórios recebidos: [NÚMERO]
• Vulnerabilidades válidas: [NÚMERO]
• Patches de segurança lançados: [NÚMERO]
• Tempo médio de resolução: [TEMPO]

• Arquitetura de Segurança
• Guia de Deployment Seguro
• Checklist de Segurança

• SAST: SonarQube, CodeQL
• DAST: OWASP ZAP, Burp Suite
• Dependency Scanning: npm audit, Snyk
• Secrets Scanning: GitLeaks, TruffleHog

• OWASP Top 10
• CWE/SANS Top 25
• NIST Cybersecurity Framework

• Email: security@[SEU_DOMINIO].com
• PGP Key: [LINK_PARA_CHAVE_PGP]
• Website: [LINK_PARA_PAGINA_DE_SEGURANCA]

• Nome: [NOME_DO_COORDENADOR]
• Email: [EMAIL_DO_COORDENADOR]
• LinkedIn: [LINK_LINKEDIN]

Seguimos o princípio de divulgação responsável:

1. 90 dias para correção após relatório inicial
2. Extensão possível para vulnerabilidades complexas
3. Divulgação imediata se vulnerabilidade for explorada ativamente
4. Crédito público ao pesquisador (com consentimento)

• Vulnerabilidades em sistemas legados podem ter cronograma estendido
• Vulnerabilidades que requerem mudanças de arquitetura significativas
• Coordenação com terceiros pode afetar cronograma

Esta política aplica-se a:

• Todos os repositórios sob [ORGANIZAÇÃO]
• Sistemas de produção hospedados por nós
• Aplicações oficiais (web, mobile, desktop)

• Sistemas de terceiros que integramos
• Vulnerabilidades em dependências (reporte ao upstream)
• Ataques de engenharia social
• Físicas ou de infraestrutura de terceiros

Pesquisadores agindo de boa-fé não serão processados legalmente, desde que:

• Sigam nossa política de divulgação responsável
• Evitem acessar dados não autorizados
• Não prejudiquem nossos serviços ou usuários
• Não violem leis locais ou internacionais

Última atualização: [DATA] Versão da política: 2.1 Próxima revisão: [DATA + 6 meses]