Se você descobrir uma vulnerabilidade de segurança, por favor:

1. Não abra uma issue pública
2. Envie um email para andre.dsbf@gmail.com com detalhes da vulnerabilidade
3. Inclua:
   • Descrição da vulnerabilidade
   • Passos para reproduzir
   • Impacto potencial
   • Sugestões de correção (se houver)

• Confirmação de recebimento: 48 horas
• Avaliação inicial: 7 dias
• Correção (se confirmada): 30 dias

Esta política cobre:

• Código fonte do projeto
• Dependências diretas
• Scripts de instalação e configuração
• Comunicação USB com dispositivos Tegra X1 (injeção RCM)
• Regras udev para acesso a dispositivos

• Vulnerabilidades em dependências upstream (reporte diretamente aos mantenedores)
• Firmware de terceiros (Atmosphere, Hekate, etc.)
• Ataques de engenharia social
• Ataques físicos

Contribuidores que reportarem vulnerabilidades válidas serão reconhecidos no CHANGELOG (se desejarem).