.github/SECURITY.md

   1 # Security Policy
   2
   3 ## Supported Versions
   4
   5 We provide security updates to the development branch and the stable
   6 branches. Security patches for old releases are available on the
   7 [project website](https://tukaani.org/xz).
   8
   9 ## Reporting a Vulnerability
  10
  11 If you discover a security vulnerability in this project, please
  12 report it privately. **Do not disclose it as a public issue.** This gives
  13 us time to work with you to fix the issue before public exposure, reducing
  14 the chance that the exploit will be used before a patch is released.
  15
  16 You may submit a report by emailing us at
  17 [xz@tukaani.org](mailto:xz@tukaani.org), or through
  18 [Security Advisories](https://github.com/tukaani-project/xz/security/advisories/new).
  19 While both options are available, we prefer email. In any case, please
  20 provide a clear description of the vulnerability including:
  21
  22 - Affected versions of XZ Utils
  23 - Estimated severity (low, moderate, high, critical)
  24 - Steps to recreate the vulnerability
  25 - All relevant files (core dumps, build logs, input files, etc.)
  26
  27 This project is maintained by a team of volunteers on a reasonable-effort
  28 basis. As such, please give us 90 days to work on a fix before
  29 public exposure.