Se você descobrir uma vulnerabilidade de segurança em qualquer repositório da organização tekojs, não abra uma issue pública. Em vez disso, siga as instruções abaixo:

1. Envie um e-mail para security@tekojs.org descrevendo o problema com o máximo de detalhes possível.
2. Inclua no seu relatório:
   • Descrição detalhada da vulnerabilidade
   • Passos para reproduzir o problema
   • Impacto potencial
   • Versão afetada (se aplicável)
3. Aguarde o contato da equipe em até 7 dias úteis.

• Nunca commite segredos, tokens, senhas ou credenciais em nenhum repositório.
• Utilize as GitHub Actions Secrets para armazenar informações sensíveis em pipelines de CI/CD.
• Caso um segredo seja acidentalmente exposto, revogue-o imediatamente e notifique a equipe.
• Utilize ferramentas como git-secrets ou truffleHog para prevenir vazamentos.

• O princípio do menor privilégio deve ser aplicado a todos os colaboradores e integrações.
• Revise periodicamente as permissões de colaboradores e aplicações conectadas à organização.
• Ative a autenticação de dois fatores (2FA) obrigatória para todos os membros da organização.

Agradecemos a divulgação responsável de vulnerabilidades. Reconheceremos sua contribuição assim que o problema for corrigido.