Atualmente, fornecemos suporte de segurança para as seguintes versões do Vibe DevTools:
| Versão | Suportada |
|---|---|
| 1.x | ✅ |
| < 1.0 | ❌ |
Packages:
| Package | Versão | Suportada |
|---|---|---|
vibe-devtools (CLI) |
0.4.x | ✅ |
@vibe-devtools/basic |
1.x | ✅ |
@vibe-devtools/research |
1.x | ✅ |
Nota: Sempre recomendamos usar a versão mais recente disponível no npm.
Levamos a segurança do Vibe DevTools a sério. Se você descobriu uma vulnerabilidade de segurança, pedimos que nos informe de forma responsável.
NÃO crie uma issue pública no GitHub para vulnerabilidades de segurança.
Em vez disso, envie um relatório privado para:
📧 Email: clebercleberhensel@gmail.com
Assunto: [SECURITY] Vibe DevTools - [descrição breve]
Para nos ajudar a entender e resolver o problema rapidamente, inclua:
-
Descrição da vulnerabilidade
- Tipo de problema (ex: SQL injection, XSS, etc)
- Componente/package afetado
- Impacto potencial
-
Passos para reproduzir
- Passo a passo detalhado
- Proof of Concept (se possível)
- Screenshots/logs (se aplicável)
-
Ambiente
- Versão do package afetado
- Sistema operacional
- Node.js version
-
Sugestões de correção (opcional)
- Se você tem ideias de como corrigir
Assunto: [SECURITY] Vibe DevTools - Path Traversal na instalação de vibes
Descrição:
Descobri uma vulnerabilidade de path traversal que permite
instalação de arquivos fora do diretório ~/.vibes/
Componente afetado:
- vibe-devtools CLI v0.4.1
- Módulo: symlink-manager.ts
Passos para reproduzir:
1. Criar vibe malicioso com path "../../../"
2. Executar `vdt install ./malicious-vibe`
3. Arquivos são criados fora de ~/.vibes/
Impacto:
Um atacante pode sobrescrever arquivos do sistema
Sugestão:
Validar paths antes de criar symlinks usando path.resolve()- Confirmação de Recebimento: 24-48 horas
- Avaliação Inicial: 3-5 dias úteis
- Validação: 7 dias úteis
- Correção: Depende da severidade
- Divulgação: Após correção disponível
Classificamos vulnerabilidades usando o CVSS (Common Vulnerability Scoring System):
| Severidade | Score CVSS | Tempo de Resposta | Tempo de Correção |
|---|---|---|---|
| Crítica | 9.0-10.0 | 24 horas | 7 dias |
| Alta | 7.0-8.9 | 48 horas | 14 dias |
| Média | 4.0-6.9 | 5 dias | 30 dias |
| Baixa | 0.1-3.9 | 7 dias | 60 dias |
Após reportar uma vulnerabilidade:
- ✅ Confirmação: Confirmaremos o recebimento do seu report
- 🔍 Investigação: Investigaremos e reproduziremos o problema
- 💬 Comunicação: Manteremos você atualizado sobre o progresso
- 🛠️ Correção: Desenvolveremos e testaremos a correção
- 🚀 Release: Publicaremos nova versão com a correção
- 📢 Divulgação: Divulgaremos a vulnerabilidade de forma responsável
Pedimos que você:
- ✅ Nos dê tempo razoável para corrigir antes de divulgar publicamente
- ✅ Evite explorar a vulnerabilidade além do necessário para demonstrá-la
- ✅ Não acesse/modifique/delete dados de terceiros
- ✅ Mantenha confidencialidade até divulgarmos a correção
Em troca, nós:
- ✅ Responderemos prontamente ao seu report
- ✅ Manteremos você informado sobre o progresso
- ✅ Creditaremos você na divulgação (se desejar)
- ✅ Trataremos seu report com seriedade e respeito
Atualmente não temos um programa formal de bug bounty.
No entanto:
- 🎖️ Creditaremos publicamente reportes válidos
- 🌟 Reconheceremos contribuições significativas
- 💝 Agradeceremos profundamente sua ajuda
- Usamos Dependabot para monitorar vulnerabilidades em dependências
- Atualizamos dependências regularmente
- Priorizamos patches de segurança
Você pode auditar dependências localmente:
# Auditar CLI
cd apps/cli
npm audit
# Auditar packages
cd packages/basic
npm auditSe encontrar vulnerabilidade em uma dependência:
- Verifique se já existe issue/PR para isso
- Se não, abra issue normal (não é vulnerabilidade do Vibe DevTools)
- Tag com label
dependenciesesecurity
Ao usar Vibe DevTools:
✅ Instale apenas de fontes confiáveis:
# ✅ Bom: npm oficial
vdt install @vibe-devtools/basic
# ⚠️ Cuidado: vibes de terceiros
vdt install @unknown/suspicious-vibe
# 🔍 Sempre: verifique código antes de instalar vibes não-oficiais✅ Mantenha atualizado:
npm update -g vibe-devtools✅ Revise vibes instalados:
vdt list✅ Não compartilhe credenciais:
- Nunca commit arquivos
.envcom secrets - Use variáveis de ambiente para dados sensíveis
Ao criar vibes:
✅ Não solicite/armazene dados sensíveis ✅ Valide todos inputs ✅ Não execute comandos arbitrários ✅ Documente permissões necessárias ✅ Use dependências confiáveis
Atualizações de segurança são anunciadas via:
- 📢 GitHub Security Advisories
- 📝 CHANGELOG
- 📦 npm advisory
- 🐦 Twitter/X (futuramente)
# Atualizar CLI
npm update -g vibe-devtools
# Verificar versão
vdt --version
# Atualizar vibes instalados (futuramente)
vdt update --allPara questões de segurança:
📧 Email: clebercleberhensel@gmail.com
🔒 Assunto: [SECURITY] ...
Para outras questões:
Agradecemos a todos que reportam vulnerabilidades de forma responsável. Vocês tornam o Vibe DevTools mais seguro para todos! 🙏
Pesquisadores de segurança que ajudaram a melhorar o Vibe DevTools:
- Aguardando primeiro report 🎖️
Última Atualização: Outubro 2025