저희 javice 리포지터리의 보안에 관심 가져주셔서 감사합니다. 보안 취약점을 발견하셨다면 아래 절차에 따라 안전하게 제보해 주세요.

• **공개 이슈(Issue)**로 올리지 마시고, 반드시 이메일로만 보고해 주세요.

  • 연락처: javice.contact@gmail.com

• 이메일 제목: [SECURITY] <프로젝트명> - <짧은 취약점 요약>

• 이메일 본문에 아래 **보고 양식(섹션 4)**을 포함해 주세요.

• 접수 확인: 48시간 이내 이메일로 접수 확인을 드립니다.
• 조사 및 완화: 취약점의 복잡성에 따라 우선순위를 정하여 처리합니다. 주요 업데이트는 이메일로 공유합니다.
• 공개 일정: 취약점의 공개(예: advisory, CVE 등록)는 내부 수정 또는 완화 완료 후 이해관계자와 협의하여 진행합니다.

• 조직 소유의 공개/비공개 리포지터리(코드, 설정, CI 워크플로우 등)
• 조직에서 운영하거나 배포하는 공개 서비스(웹 애플리케이션, API 등) — 별도 명시가 있는 경우에 한함

• 제3자 서비스(외부 호스팅/서드파티 라이브러리 자체의 취약점)는 해당 서비스 제공자에게 보고해 주세요. 단, 저희 쪽 설정 문제(예: 잘못된 구성)로 인한 경우는 포함될 수 있습니다.
• 사회공학(social engineering), 피싱, 물리적 보안 테스트 등은 사전 합의 없이 수행하지 마세요.

가능한 한 상세히 적어주시면 조사에 큰 도움이 됩니다.

1. 취약점 요약 (한 문장)
2. 영향을 받는 리포지터리/서비스 및 버전
3. 재현 단계(스텝 바이 스텝)
4. 예상되는 영향(예: 권한 상승, 정보 노출 등)
5. PoC(증명 코드) 또는 스크린샷 (암호화 권장)
6. 취약점 발견 일시(타임스탬프) 및 발견자 연락처
7. 제안되는 완화책(있다면)
8. 추가 참고자료(로그, 요청/응답 캡처 등)

• 현재 공식 버그 바운티 프로그램은 운영하고 있지 않습니다.
• 보고자(허용되는 경우)에 대해 감사의 뜻으로 SECURITY.md 또는 별도 문서에 이름(또는 익명)을 기재하여 크레딧을 드릴 수 있습니다. 희망하지 않으면 알려 주세요.

• 테스트 과정에서 타인 데이터, 서비스 중단, 대규모 트래픽 유발 등을 유발하지 마세요.
• 실제 서비스에 큰 영향을 줄 수 있는 공격(예: DoS)은 사전 합의 없이는 수행하지 마세요.
• 법적 문제를 피하려면 테스트 범위 및 방법을 미리 협의하시려면 security@javice.org로 문의해 주세요.

• 선의의 의도로 합법적 범위 내에서 보고해 주신 경우, 저희는 합리적 범위 내에서 보고자에 대해 법적 조치를 취하지 않습니다. 다만, 보고 과정에서 의도적으로 악의적 행위(데이터 절취, 서비스 중단 등)를 수행한 경우는 예외입니다.

• 심각한 취약점에 대해서는 CVE 등록을 진행할 수 있습니다.
• 공개 전 저희와 협력하여 수정 및 공지 일정, 공지 내용(영문/한국어)을 조율해 주세요.

제목: [SECURITY] project-name - SQL Injection in /api/search

본문:
1) 요약: /api/search 엔드포인트에 SQL 인젝션 취약점 발견
2) 영향 범위: project-name v1.2.3 - 1.4.0
3) 재현 단계:
   - 요청 예시: POST /api/search { "q": "' OR '1'='1" }
   - 결과: 모든 데이터가 노출됨
4) PoC: (첨부된 PoC.js - PGP로 암호화 함)
5) 발견 일시: 2025-10-18 14:23 KST
6) 연락처: your-email@example.com

보안 문제를 제보해 주셔서 감사합니다. 여러분의 적극적인 협력이 저희 javice 프로젝트와 사용자들을 안전하게 지키는 데 큰 도움이 됩니다.