2025-06-08 21:50:50 +08:00
|
|
|
|
# 安全政策
|
2020-06-30 23:22:25 +08:00
|
|
|
|
|
2025-06-08 21:50:50 +08:00
|
|
|
|
## 支持的版本
|
2020-06-30 23:22:25 +08:00
|
|
|
|
|
2025-06-08 21:50:50 +08:00
|
|
|
|
我们为以下版本提供安全更新:
|
2020-06-30 23:22:25 +08:00
|
|
|
|
|
2025-06-08 21:50:50 +08:00
|
|
|
|
| 版本 | 支持状态 |
|
2020-06-30 23:22:25 +08:00
|
|
|
|
| ------- | ------------------ |
|
2025-06-08 21:50:50 +08:00
|
|
|
|
| 2.0.x | :white_check_mark: |
|
|
|
|
|
|
| 1.0.x | :x: |
|
2020-06-30 23:22:25 +08:00
|
|
|
|
|
2025-06-08 21:50:50 +08:00
|
|
|
|
## 报告漏洞
|
2020-06-30 23:22:25 +08:00
|
|
|
|
|
2025-06-08 21:50:50 +08:00
|
|
|
|
如果您发现了安全漏洞,请通过以下方式报告:
|
2020-06-30 23:22:25 +08:00
|
|
|
|
|
2025-06-08 21:50:50 +08:00
|
|
|
|
### 报告渠道
|
|
|
|
|
|
|
|
|
|
|
|
- **邮箱**: [安全邮箱将在实际部署时提供]
|
|
|
|
|
|
- **GitHub**: 创建私有安全报告(推荐)
|
|
|
|
|
|
|
|
|
|
|
|
### 报告流程
|
|
|
|
|
|
|
|
|
|
|
|
1. **不要**在公开的 issue 中报告安全漏洞
|
|
|
|
|
|
2. 提供详细的漏洞描述,包括:
|
|
|
|
|
|
- 受影响的版本
|
|
|
|
|
|
- 复现步骤
|
|
|
|
|
|
- 潜在的影响范围
|
|
|
|
|
|
- 如果可能,提供修复建议
|
|
|
|
|
|
|
|
|
|
|
|
### 响应时间
|
|
|
|
|
|
|
|
|
|
|
|
- **确认收到**: 72小时内
|
|
|
|
|
|
- **初步评估**: 1周内
|
|
|
|
|
|
- **修复发布**: 根据严重程度,通常在2-4周内
|
|
|
|
|
|
|
|
|
|
|
|
### 处理流程
|
|
|
|
|
|
|
|
|
|
|
|
1. 我们会确认漏洞的存在和严重程度
|
|
|
|
|
|
2. 开发修复方案并进行测试
|
|
|
|
|
|
3. 发布安全更新
|
|
|
|
|
|
4. 在修复发布后,会在相关渠道公布漏洞详情
|
|
|
|
|
|
|
|
|
|
|
|
### 安全最佳实践
|
|
|
|
|
|
|
|
|
|
|
|
使用 ECS Framework 时,请遵循以下安全建议:
|
|
|
|
|
|
|
|
|
|
|
|
- 始终使用最新的稳定版本
|
|
|
|
|
|
- 定期更新依赖项
|
|
|
|
|
|
- 在生产环境中禁用调试模式
|
|
|
|
|
|
- 验证所有外部输入数据
|
|
|
|
|
|
- 不要在客户端存储敏感信息
|
|
|
|
|
|
|
|
|
|
|
|
感谢您帮助保持 ECS Framework 的安全性!
|
