| Versão | Suportada |
|---|---|
| 0.1.x | ✅ |
Não abra issue pública para vulnerabilidades.
Use o canal privado do GitHub:
- Acesse https://github.com/Ronbragaglia/copa26/security/advisories/new
- Ou envie email para o autor (perfil GitHub: @Ronbragaglia)
Inclua, se possível:
- Descrição clara da falha
- Passos para reproduzir
- Versão afetada
- Impacto estimado
Responderemos em até 72 horas úteis com:
- Confirmação do recebimento
- Avaliação inicial
- Plano de mitigação (patch e advisory)
copa26 é um CLI puramente local. Ele:
- ✅ Não faz requisições HTTP externas em runtime
- ✅ Não lê credenciais, tokens ou arquivos do sistema
- ✅ Não executa código dinâmico (sem
eval, semFunction(...)) - ✅ Sanitiza todos os argumentos do CLI (regex
/^[A-Za-z0-9-]+$/) - ✅ Sanitiza todos os inputs antes de emitir SVG (escape XML)
- ✅ Publicado com npm provenance (verifique via
npm view copa26 --json) - ✅ Lockfile commitado, dependências auditadas semanalmente (Dependabot)
- ✅ CI executa CodeQL
security-and-qualityem todo PR e semanalmente
- Sempre instale uma versão fixa (
copa26@0.1.0, e nãocopa26@latest) - Em CI, use
npm ci --ignore-scripts - Em GitHub Actions, fixe a action por SHA, não por tag mutável
- Audite com
npm auditregularmente
| Componente | Risco | Mitigação |
|---|---|---|
kleur |
Baixo | Lib pura JS, sem deps transitivas |
| GitHub Action | Médio | Actions externas pinadas por SHA |
| Widget SVG | Baixo | Input já sanitizado e escape XML obrigatório |
| Auto-sync da Copa | Baixo | Workflow abre PR (nunca push direto). Dados da API passam por validação de schema: regex de código de seleção, score 0-99, datas só entre jun-jul 2026. Branch protection + CodeQL + lint barram qualquer payload malicioso. |
Obrigado por ajudar a manter copa26 seguro.