Lombok 仅在构建时是依赖项；当您的应用程序运行时，不需要 lombok.jar 可用，它只需要在您编译代码时存在即可。

因此，lombok 极不可能成为安全漏洞的来源。

尽管如此，如果您有任何疑虑或发现漏洞，请私下披露该漏洞。我们希望与您协调，以便我们可以发布漏洞修复程序并同时向公众披露漏洞。作为一个开源项目，我们目前无法提供金钱奖励，但我们会感谢您的贡献（当然，我们会欠您一杯清爽的饮料！），并与您合作设定合理的修复时间表。

如果您想报告漏洞，请联系 tidelift 安全团队。或者，您也可以通过 [email protected] 直接联系我们。