• 推奨: 対象リポジトリの「Security → Report a vulnerability」から非公開で報告
• 代替: メール（your-security-email@example.com に置き換え推奨）

• このアカウント配下の公開リポジトリ
• サードパーティ依存の既知脆弱性は、再現性と影響範囲を記してください

1. 受付確認（~3 営業日内の目標）
2. 影響調査・修正計画（深刻度に応じ優先）
3. リリースとアドバイザリ公開（必要に応じ CVE 取得を検討）

セキュリティ報告は 公開 Issue にしないでください（機微情報の露出防止）。