Не открывайте публичный Issue с описанием эксплойта до исправления.

Напишите владельцу репозитория приватно (GitHub: Security → Advisories / или контакт через профиль владельца организации, если указан).

В письме по возможности укажите:

• тип уязвимости и затронутые компоненты;
• шаги воспроизведения (proof of concept);
• оценку критичности (если есть опыт).

Мы постараемся подтвердить получение и ответить в разумные сроки; для open source без SLA.

• Храните BOT_TOKEN, пароли БД и ключи Redis только в переменных окружения или секретах оркестратора.
• Не прокидывайте токены в клиентский фронтенд и логи.
• Регулярно обновляйте зависимости (requirements.txt) и следите за GitHub Dependabot alerts, если включены.