| Project | Supported |
|---|---|
| actver.dev (API / MCP server) | ✅ |
| actver-dev/skills (Plugin & skills) | ✅ |
Please do not report security vulnerabilities through public GitHub issues.
Use GitHub Security Advisories to report vulnerabilities privately.
When reporting, please include:
- Description of the vulnerability
- Steps to reproduce
- Potential impact
- Suggested fix (if any)
- We will acknowledge receipt within 72 hours
- We aim to provide an initial assessment within 1 week
- Critical vulnerabilities affecting the production service will be prioritized
| In scope | Out of scope |
|---|---|
| actver.dev API endpoints | Third-party dependencies (report upstream) |
MCP server (/mcp) |
GitHub Actions themselves |
| actver-dev/skills plugin | Theoretical attacks with no PoC |
| Web UI (webapp) |
| プロジェクト | サポート |
|---|---|
| actver.dev(API / MCP サーバー) | ✅ |
| actver-dev/skills(プラグイン&スキル) | ✅ |
セキュリティの脆弱性は公開 Issue で報告しないでください。
GitHub Security Advisories からプライベートに報告してください。
報告時に以下を含めてください:
- 脆弱性の説明
- 再現手順
- 想定される影響
- 修正案(あれば)
- 72 時間以内に受領を確認します
- 1 週間以内に初期評価を回答します
- 本番サービスに影響する重大な脆弱性は優先的に対応します
| 対象 | 対象外 |
|---|---|
| actver.dev API エンドポイント | サードパーティの依存関係(上流に報告してください) |
MCP サーバー (/mcp) |
GitHub Actions 自体 |
| actver-dev/skills プラグイン | PoC のない理論上の攻撃 |
| Web UI(webapp) |