<div dir="ltr"><div>Hello all,</div><div><br></div><div>  We have recently had more eyes (and AI's) looking at our project, uncovering a few regrettable mistakes that might have or not have security implications. They were disclosed in as reasonable a manner as possible at that time, given that we did not have any policy published about that, nor tools/channels to do so.</div><div><br></div><div>  A wording for the reporting policy as well as explanation of the interaction between upstream NUT (trunk sources) and releases (snapshots) and packages (someone else's work) has now been proposed at <a href="https://github.com/networkupstools/nut/pull/3470">https://github.com/networkupstools/nut/pull/3470</a> and would be merged shortly (after CI is satisfied with spell-checks, tarballs, etc.), but contributions for future revisions are welcome.</div><div><br></div><div>  As part of this experience, the GitHub-provided channel for such responsible reporting was unlocked under <a href="https://github.com/networkupstools/nut/security">https://github.com/networkupstools/nut/security</a> - these reports would only be visible to the reporter(s) and NUT core team, until fixed and published as a security advisory.</div><div><br></div><div>Hope this helps,</div><div>Jim Klimov</div><div><br></div></div>