中文在前，English below.

我们仅对最新发布的稳定版提供安全更新。

请不要在公开 Issue 中报告安全漏洞，以免在补丁发布前被恶意利用。

请通过以下渠道私下报告：

• 📧 邮件：wanglei30@wps.cn
• 📌 邮件标题前缀：[Forge Security]

• 漏洞类型（如命令注入、路径遍历、配置文件注入等）
• 影响版本 和 复现环境（操作系统、Rust 版本）
• 复现步骤（越详细越好，包含 PoC 或截图）
• 潜在影响范围（任意命令执行 / 信息泄露 / 服务不可用）
• 建议的修复方案（如有）
• 报告者信息（用于致谢，匿名也可）

我们采用协调披露（Coordinated Disclosure）原则：

1. 你私下报告漏洞 → 我们确认并评估
2. 我们准备修复补丁 → 通知你验证
3. 发布修复版本 → 在 GitHub Security Advisory 与 CHANGELOG 公开漏洞详情
4. 在公告中致谢报告者（除非你希望匿名）

通常至少在补丁发布 7 天后才会公开技术细节，以便用户升级。

感谢所有负责任披露漏洞的研究者。维护者列表与历史致谢见 GitHub Security Advisories。

使用 Forge 时请注意以下安全要点：

Please do not report security vulnerabilities through public GitHub issues.

Report privately via:

• 📧 Email: wanglei30@wps.cn
• 📌 Subject prefix: [Forge Security]

• Vulnerability type (e.g. command injection, path traversal, config injection)
• Affected version and reproduction environment (OS, Rust version)
• Step-by-step reproduction with PoC if possible
• Potential impact (arbitrary command execution / information disclosure / DoS)
• Suggested fix (if available)
• Reporter info for credit (anonymous OK)

We follow coordinated disclosure: technical details are usually published at least 7 days after a patch is available, via GitHub Security Advisories and CHANGELOG.