中文 | English
目前支持的安全版本:
| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ 安全更新支持 |
如果您发现了安全漏洞,请通过以下方式报告:
-
不要公开报告 - 请不要在 GitHub Issues 或公开论坛中报告安全问题
-
私密报告 - 请发送邮件至 wangfumin2@163.com
-
报告内容应包括:
- 漏洞的详细描述
- 复现步骤
- 可能的影响
- 建议的修复方案(如果有)
- 不要在配置文件中硬编码 API 密钥
- 使用环境变量存储敏感信息
- 定期轮换 API 密钥
- 在生产环境中使用 HTTPS
- 配置适当的 CORS 策略
- 限制访问来源
- 定期更新依赖包
- 使用依赖漏洞扫描工具
- 审查第三方依赖的安全性
我们承诺:
- 在 48 小时内确认收到漏洞报告
- 在 7 天内提供初步评估
- 根据漏洞严重程度确定修复优先级
感谢所有负责任地报告安全问题的研究人员和用户。