Este arquivo define a política de segurança e o processo de divulgação responsável.

Para evitar duplicação e desatualização:

• Fonte de verdade para status de dependências (npm audit): docs/DEVOPS.md
• Fonte de verdade para reporte de vulnerabilidades: este arquivo (SECURITY.md)

Não mantenha inventário de CVEs aqui.

Consulte sempre:

• docs/DEVOPS.md (seção de Security & Vulnerability Management)

Esse é o documento que contém:

• status atual de severidade
• critérios de aceitação temporária de risco
• gatilhos de escalonamento
• cadência de revisão

npm audit

• Vulnerabilidades em tooling/dev dependency podem ser aceitas temporariamente se documentadas em docs/DEVOPS.md
• Vulnerabilidades high/critical devem ser tratadas como bloqueadoras
• O CI é a validação final de merge

Se você descobrir uma vulnerabilidade no código do Refarm (não apenas em dependências transitivas de tooling):

1. Não abra issue pública
2. Contate os mantenedores em canal privado
3. Inclua passos de reprodução, impacto e possível mitigação

• npm audit documentation
• Dependabot alerts
• GitHub Security Advisories