lazy-starter-kit를 안전하게 써주셔서 고맙습니다. 취약점을 발견하셨다면 공개 이슈로 올리기 전에 아래 방법으로 알려주세요.
개인 오픈소스 프로젝트라 지원 범위는 단순합니다.
| 버전 | 지원 |
|---|---|
main (롤링, 1.0 이전) |
✅ 항상 여기서 고칩니다 |
최신 릴리스 태그 (vX.Y.Z) |
✅ 재현되면 반영 |
| 그 이전 태그 | ❌ (최신으로 올려주세요) |
GitHub 비공개 취약점 신고를 권장합니다: 저장소 Security 탭 → "Report a vulnerability" 로 비공개 리포트를 열 수 있어요. (전용 보안 이메일은 따로 없습니다.)
리포트에 아래가 있으면 훨씬 빨리 확인할 수 있어요:
- 어떤 OS에서 (macOS / Linux 배포판 / Windows)
- 어떤 스크립트·단계인지, 재현 방법
- 가능하면
--dry-run/-DryRun출력
이 키트는 여러 업스트림 프로젝트의 공식 설치 스크립트를 내려받아 실행합니다
(Homebrew, oh-my-zsh, get.docker.com, Hermes, npx lazycodex 등).
- 업스트림 자체의 취약점(예: Homebrew 설치 스크립트 결함)은 해당 프로젝트에 직접 신고해 주세요 — 우리가 고칠 수 있는 부분이 아닙니다.
- 이 키트의 코드는 범위 안입니다: 마커 블록(
# >>> lazy-starter-kit ... >>>) 편집, 권한(sudo/관리자) 사용, 다운로드 URL·검증 방식, 제거 스크립트 등. 여기서 문제를 찾으셨다면 꼭 알려주세요.
최선을 다하지만(best-effort) 개인 오픈소스 프로젝트라 즉각 대응을 약속드리긴
어렵습니다. 확인되는 대로 main에 반영하고 CHANGELOG에 남깁니다. 양해 부탁드려요.
Thanks for helping keep lazy-starter-kit safe. Please report vulnerabilities privately, before opening a public issue.
| Version | Supported |
|---|---|
main (rolling, pre-1.0) |
✅ fixes land here |
Latest release tag (vX.Y.Z) |
✅ if reproducible |
| Older tags | ❌ (please upgrade) |
Preferred: GitHub private vulnerability reporting — go to the repo's
Security tab → "Report a vulnerability." There is no dedicated security
email. Helpful details: OS (macOS / Linux distro / Windows), which script/step,
repro steps, and --dry-run / -DryRun output if possible.
This kit downloads and runs official install scripts from upstream projects
(Homebrew, oh-my-zsh, get.docker.com, Hermes, npx lazycodex, …).
- Vulnerabilities in those upstreams should be reported to those projects — they're outside our control.
- Anything in this kit's own code is in scope: marker-block editing, privilege (sudo/admin) use, download URLs and verification, and the uninstall scripts.
Best-effort only — this is a personal open-source project, so we can't promise an
SLA. Confirmed issues are fixed on main and noted in the CHANGELOG. Thanks for
your patience.