Lombok 僅為建構時期的相依性；當您的應用程式執行時，不需要有 lombok.jar，它只需要在您編譯程式碼時存在即可。

因此，Lombok 極不可能成為安全漏洞的來源。

然而，如果您有疑慮或發現漏洞，請私下揭露該漏洞。我們希望與您協調，以便我們可以與公開漏洞的同時發布漏洞修復程式。作為一個開源專案，我們目前無法提供金錢獎勵，但我們將感謝您的貢獻（而且我們當然會欠您一杯您選擇的清涼飲料！），並與您合作，為修復設定合理的時程表。

如果您想回報漏洞，請聯絡 tidelift 安全團隊。或者，您可以透過 [email protected] 直接聯絡我們。