Danke, dass du dazu beiträgst, den Iceberg-Aware Builder sicher zu halten.

Diese Richtlinie betrifft Sicherheitslücken im Skill selbst – nicht in Software, die mit Hilfe des Skills gebaut wurde. Für Lücken in deinen eigenen Builds folge dem Iceberg-Report-Prozess und ggf. den Empfehlungen für externe Audits.

Beispiele für meldenswerte Probleme:

• Der Skill empfiehlt unsichere Default-Konfigurationen
• Der Skill verschweigt bekannte Risiken in einer Audit-Domäne
• Ein Branchenprofil enthält irreführende oder falsche Compliance-Hinweise
• Cross-AI-Review-Templates erzeugen unbrauchbare oder gefährliche Outputs
• Die Tier-Klassifizierung stuft offensichtlich kritische Projekte als unkritisch ein

Bitte NICHT als öffentliches GitHub Issue.

Stattdessen vertraulich an die Maintainer-Adresse, die im Repo unter MAINTAINER.md (sobald angelegt) hinterlegt ist. Alternativ über GitHubs privates "Report a vulnerability"-Feature im Security-Tab.

• Beschreibung der Lücke
• Schritte zur Reproduktion (idealerweise mit konkretem Build-Beispiel)
• Mögliche Auswirkungen
• Optional: Vorschlag zur Behebung
• Dein Name oder Pseudonym, falls du in den Release-Notes genannt werden möchtest

Da die Maintainer Solo-Builder sind, sind die Zeiten als Best Effort zu verstehen.

Wir veröffentlichen mit Zustimmung des Melders eine Danksagung in den Release-Notes der korrigierenden Version.

• Allgemeine Bug-Reports → bitte als reguläres Issue
• Feature-Wünsche → bitte als Feature-Request-Issue
• Fragen zur Nutzung → bitte in den GitHub Discussions
• Sicherheitsfragen zu Software, die du mit dem Skill gebaut hast → folge dem Iceberg-Report-Prozess oder konsultiere einen externen Sicherheits-Auditor

Wir können keine Bug-Bounty zahlen. Diese Richtlinie ist ein Versprechen zu fairer und transparenter Behandlung von Meldungen, keine vertragliche Verpflichtung.