# Security Policy

## Sicherheitslücken melden

Wenn du eine Sicherheitslücke in diesem SDK oder in der hightrusted CAPTURE API
findest, **öffne kein öffentliches Issue**. Stattdessen:

- **E-Mail:** `security@hightrusted.net`
- **PGP-Key:** veröffentlicht auf https://hightrusted.net/.well-known/security.txt

Bitte gib in der Meldung an:

- Betroffenes Repository / SDK-Version
- Beschreibung der Schwachstelle und potenzielle Auswirkung
- Schritte zur Reproduktion
- Falls vorhanden: Proof-of-Concept-Code

Wir bestätigen den Eingang innerhalb von 48 Stunden und arbeiten an einer
zeitnahen Behebung. Verantwortliche Offenlegung wird honoriert — wir nennen
Reporter (auf Wunsch) in den Release-Notes.

## Unterstützte Versionen

Während der `v0.x`-Phase werden nur die jeweils aktuellste Minor-Version und
deren letzte zwei Patch-Versionen aktiv mit Sicherheits-Updates versorgt.

Ab `v1.0` gilt: aktuelle Major + vorherige Major (12 Monate Übergangsfrist).