このリポジトリ（9uiLe/plugins）における脆弱性の報告方法と、サポート対象バージョンを定めます。

最新の master ブランチおよび、直近の GitHub Release のみを対象とします。古いバージョンへの個別パッチは原則行いません。

公開 Issue は作成しないでください。 公開リポジトリで詳細を共有すると、修正前に悪用されるおそれがあります。

代わりに、以下のいずれかの非公開チャネルでご連絡ください。

1. リポジトリの Security タブを開きます。
2. Report a vulnerability をクリックします。
3. フォームに沿って詳細を記入し、送信します。

このチャネルは GitHub 上の非公開アドバイザリとして管理され、メンテナとのみ共有されます。

GitHub アカウントをお持ちでないなど、上記が利用できない場合は、リポジトリオーナー @9uiLe の GitHub プロフィールに記載の連絡先までご連絡ください。

修正対応を迅速に進めるため、可能な範囲で以下を共有してください。

• 影響を受けるプラグイン / Skill（例: tech-docs/create-adr）
• 再現手順（コマンド・入力・実行環境）
• 影響範囲と想定される被害（情報漏洩 / 任意コード実行 / DoS など）
• 既知の回避策（あれば）
• 公開予定（CVE 採番希望、Coordinated Disclosure の希望時期など）

修正リリース時、希望される場合はリリースノートおよびアドバイザリで報告者名（または匿名）をクレジットします。希望の有無を報告時にお知らせください。

以下はこのポリシーの対象外です。

• Claude Code 本体の脆弱性 → Anthropic のセキュリティ報告窓口 へご連絡ください。
• このリポジトリの依存先（GitHub Actions の third-party action など）→ 該当プロジェクトへ直接ご連絡ください。
• ソーシャルエンジニアリングや物理攻撃。
• 同梱している third-party ライブラリ自体の脆弱性 (plugins/tech-docs/shared-assets/vendor/ 配下の Prism / Mermaid 等) → 上流プロジェクトへ報告してください。ただし 本リポジトリが特定バージョンを同梱していることに起因する報告 (例: 既知 CVE 該当バージョンを vendor し続けている等) は本ポリシーの対象です。vendor 管理方針は ADR-0002 (docs/adr/0002-vendor-prism-mermaid.html) を参照。

ご報告ありがとうございます。