安全政策 (Security Policy)

支持的版本

我们当前支持以下版本的安全更新：

版本	支持状态
1.x	✅

报告安全漏洞

如果您发现了安全漏洞，请不要在公开的 Issue 中报告。

报告流程

1. 私密报告：发送邮件至 1002113844@qq.com

2. 包含信息：

   • 漏洞类型和严重程度
   • 复现步骤
   • 影响范围
   • 可能的修复建议

3. 响应时间：

   • 我们将在 48 小时内确认收到您的报告
   • 并在 7 天内提供初步评估

安全漏洞分类

🔴 高危漏洞（立即修复）

• XSS（跨站脚本攻击）
• CSRF（跨站请求伪造）
• SQL 注入
• 远程代码执行
• 敏感信息泄露（密钥、Token、个人信息）

🟡 中危漏洞（优先修复）

• 不安全的依赖包
• 弱加密算法
• 不安全的身份认证

🟢 低危漏洞（计划修复）

• 信息泄露（版本号、路径）
• 配置问题

安全最佳实践

本项目遵循以下安全准则：

代码层面

• ✅ 所有用户输入都进行转义和验证
• ✅ 禁止硬编码敏感信息（密钥、密码）
• ✅ 使用 DOM 方法而非 innerHTML
• ✅ 定期更新依赖包

依赖管理

• 每月运行 pnpm audit 安全审计
• 及时更新有漏洞的依赖包
• 使用 Dependabot 自动检测依赖漏洞

数据保护

• 不在代码中存储真实的个人信息
• 敏感配置使用环境变量
• 遵守 GDPR 和数据保护法规

已知的安全措施

本项目已实施以下安全措施：

1. XSS 防护：所有动态内容使用 textContent 而非 innerHTML
2. 依赖审计：GitHub Actions 自动运行 pnpm audit
3. 代码检查：ESLint 规则禁止危险模式
4. 敏感词过滤：项目配置了敏感词检查

漏洞修复流程

1. 收到报告 → 确认漏洞
2. 评估影响 → 确定优先级
3. 开发修复 → 编写补丁
4. 测试验证 → E2E 测试覆盖
5. 发布更新 → 通知相关方
6. 公开披露 → 修复后 30 天

致谢

感谢所有负责任地披露安全漏洞的研究人员和贡献者。我们会在修复后在此列出致谢名单。

---

最后更新时间：2026年3月6日