Agradecemos que você reporte vulnerabilidades de segurança para nos ajudar a manter o commit-wizard seguro.
NÃO abra uma issue pública para vulnerabilidades de segurança. Em vez disso:
- Email: Envie um email para security@gilbert.dev.br
- GitHub Security: Use o GitHub Security Advisories
- Formulário: Use o formulário de segurança
Por favor, inclua as seguintes informações no seu reporte:
- Descrição: Descrição clara da vulnerabilidade
- Reprodução: Passos para reproduzir o problema
- Impacto: Possível impacto da vulnerabilidade
- Versão: Versão do commit-wizard afetada
- Ambiente: Sistema operacional, Node.js
- Configuração: Arquivo
.commit-wizardrc(se relevante)
Assunto: [SECURITY] Vulnerabilidade de injeção em prompt
Descrição:
O parâmetro --message permite injeção de comandos através de caracteres especiais.
Reprodução:
1. Execute: commit-wizard --message "$(rm -rf /)"
2. O comando é executado como root
Impacto:
Execução arbitrária de comandos com privilégios elevados.
Versão: 1.0.0
Ambiente: Ubuntu 22.04, Node.js 18
- 24 horas: Confirmação inicial
- 72 horas: Análise inicial e classificação
- 7 dias: Patch disponível (críticas)
- 30 dias: Patch disponível (altas/médias)
- 90 dias: Patch disponível (baixas)
- Crítica: Execução remota de código, elevação de privilégios
- Alta: Vazamento de dados sensíveis, negação de serviço
- Média: Vazamento de informações, bypass de validações
- Baixa: Problemas de UX, logs expostos
- Privada: Discussão inicial via email/GitHub Security
- Pública: GitHub Security Advisory após patch
- CVE: Solicitação de CVE para vulnerabilidades críticas/altas
- CodeQL: Análise estática de segurança
- Dependabot: Atualizações automáticas de dependências
- Audit: Verificação de vulnerabilidades conhecidas
- Branch Protection: Proteções contra commits maliciosos
- Princípio do Menor Privilégio: Execução com privilégios mínimos
- Validação de Entrada: Sanitização de todos os inputs
- Logs Seguros: Não logar dados sensíveis
- Dependências: Manter dependências atualizadas
{
"openai": {
"apiKey": "sk-...",
"timeout": 30000,
"maxRetries": 3
},
"security": {
"validateInputs": true,
"sanitizeOutputs": true,
"logLevel": "warn"
}
}- Nenhuma vulnerabilidade reportada
Agradecemos aos pesquisadores de segurança que reportam vulnerabilidades de forma responsável:
- Email: security@gilbert.dev.br
- GitHub: Security Advisories
Esta política de segurança está licenciada sob CC BY 4.0.
Última atualização: Julho 2025 Próxima revisão: Julho 2025