Semantic Dependency Analyzer'da bir güvenlik açığı bulduysanız, lütfen sorumlu bir şekilde bildirin.
Lütfen güvenlik açıklarını public issue olarak AÇMAYIN.
Bunun yerine:
- Private olarak rapor edin: GitHub Security Advisories kullanın
- Veya email gönderin: [security contact email]
- Açığın detaylı açıklaması
- Reproduce adımları
- Potansiyel etki
- Önerilen fix (varsa)
- 48 saat içinde onay alacaksınız
- 7 gün içinde initial assessment
- 30 gün içinde fix veya plan
Sorumlu bildirimlerde bulunan kişileri README'de acknowledge edeceğiz (isterseniz).
| Versiyon | Destekleniyor |
|---|---|
| 1.x.x | ✅ |
| < 1.0 | ❌ |
- Cache dizini default olarak
.cache/altında - Sensitive data cache'lenmez
- TTL: 24 saat
- LLM API key'leri environment variable olarak saklanmalı
- Asla hardcode etmeyin
.gitignore'da.envignore edilir
- HTTPS kullanır
- PyPI/NPM registry'lerine güvenilir
- User-Agent header ekler
python -m venv venv
source venv/bin/activate # Linux/Mac
venv\Scripts\activate # Windows# .env dosyası oluşturun
echo "OPENAI_API_KEY=your-key" > .env
# Python'da kullanın
from dotenv import load_dotenv
load_dotenv()- Dedicated VM veya container kullanın
- Network izolasyonu sağlayın
from src.utils.cache import Cache
Cache().clear_all()Critical güvenlik güncellemeleri:
- GitHub Releases üzerinden duyurulur
- README'de announcement yapılır
- Email notification (eğer subscribe edilmişse)
- Coordinated disclosure policy kullanıyoruz
- Fix hazır olana kadar public disclosure yapılmaz
- Fix sonrası CVE numarası alınabilir (major issues için)
Güvenlik konusunda sorularınız için:
- GitHub Discussions kullanın
- Security contact'a email gönderin
Güvenliğiniz bizim önceliğimiz! 🛡️