Actualmente estamos dando soporte de seguridad a las siguientes versiones:

Nota: Siempre recomendamos usar la última versión estable para obtener las últimas correcciones de seguridad.

Si descubres una vulnerabilidad de seguridad en este proyecto, por favor ayúdanos a mantener el proyecto seguro siguiendo estos pasos:

Las vulnerabilidades de seguridad no deben ser reportadas mediante issues públicos de GitHub, ya que esto podría exponer a los usuarios actuales a riesgos.

Por favor, reporta las vulnerabilidades de forma privada usando uno de estos métodos:

1. Ve a la pestaña Security del repositorio
2. Haz clic en Report a vulnerability
3. Completa el formulario con los detalles

• 📧 Email: [hormigadev7@gmail.com]
• 🔐 Usa el asunto: [SECURITY] Descripción breve

Para ayudarnos a entender y resolver el problema rápidamente, por favor incluye:

• Tipo de vulnerabilidad (ej: XSS, SQL Injection, RCE, etc.)
• Ubicación exacta del código vulnerable (archivo y línea si es posible)
• Descripción detallada del problema
• Pasos para reproducir la vulnerabilidad
• Impacto potencial (qué podría hacer un atacante)
• Posible solución (si tienes alguna idea)
• Tu información de contacto (para seguimiento)

**Tipo:** Inyección de Comandos
**Ubicación:** src/commands/execute.command.ts línea 42
**Descripción:** El comando `execute` no sanitiza correctamente la entrada del usuario
**Reproducción:**

1. Ejecutar `/execute ls && rm -rf /`
2. El comando se ejecuta sin validación
   **Impacto:** Un usuario malicioso podría ejecutar comandos arbitrarios en el servidor
   **Solución Propuesta:** Implementar whitelist de comandos permitidos

Te mantendremos informado sobre el progreso de tu reporte:

Usamos el siguiente criterio para clasificar vulnerabilidades:

• 🔴 Crítica: Explotación remota sin autenticación, compromiso total del sistema
• 🟠 Alta: Explotación requiere autenticación, compromiso parcial del sistema
• 🟡 Media: Explotación requiere condiciones específicas, impacto limitado
• 🟢 Baja: Impacto mínimo, requiere acceso privilegiado o interacción compleja

Valoramos enormemente el trabajo de los investigadores de seguridad que nos ayudan a mantener el proyecto seguro.

Los investigadores que reporten vulnerabilidades válidas serán reconocidos aquí (con su permiso):

• Aún no hay reportes

Actualmente este es un proyecto de código abierto sin financiamiento, por lo que no podemos ofrecer recompensas monetarias. Sin embargo, ofrecemos:

• ✅ Reconocimiento público en este archivo y en el CHANGELOG
• ✅ Mención en el release de la versión que corrija la vulnerabilidad
• ✅ Agradecimiento especial en redes sociales del proyecto
• ✅ Badge de contributor en GitHub

Si vas a usar este template para tu bot, te recomendamos seguir estas prácticas:

• ❌ NUNCA subas tu .env al repositorio
• ✅ Usa variables de entorno para tokens y credenciales
• ✅ Rota tu token del bot si crees que fue comprometido
• ✅ Usa .gitignore correctamente (ya incluido en el template)

• ✅ Solo solicita permisos mínimos necesarios al invitar el bot
• ✅ Revisa regularmente los permisos que usa tu bot
• ❌ No uses el permiso Administrator a menos que sea absolutamente necesario

• ✅ Mantén las dependencias actualizadas regularmente
• ✅ Usa npm audit para detectar vulnerabilidades conocidas
• ✅ Revisa las dependencias antes de agregarlas al proyecto

# Revisar vulnerabilidades
npm audit

# Corregir vulnerabilidades automáticamente (cuando sea posible)
npm audit fix

• ✅ Siempre valida los argumentos de comandos
• ✅ Usa las funciones de validación del decorador @Arg
• ✅ Sanitiza entrada del usuario antes de usarla en embed o mensajes
• ✅ Implementa rate limiting para prevenir abuso

• ❌ No almacenes contraseñas en texto plano
• ❌ No registres tokens o credenciales en logs
• ✅ Implementa RBAC (Role-Based Access Control) para comandos admin
• ✅ Usa canales privados para información sensible

Para aprender más sobre seguridad en bots de Discord:

• 📖 Discord Developer Security Best Practices
• 📖 OWASP Top 10
• 📖 Node.js Security Best Practices
• 📖 npm Security Documentation

Para consultas de seguridad:

• 📧 Email: [hormigadev7@gmail.com]
• 🐙 GitHub: @HormigaDev

Para otros temas, por favor usa los Issues de GitHub.

Gracias por ayudarnos a mantener este proyecto seguro para toda la comunidad! 🙏