mirror of
https://mirror.skon.top/github.com/cft0808/edict
synced 2026-04-21 05:10:27 +08:00
dc66e0666d
- CODEOWNERS: define code ownership for core paths (@cft0808) - CODE_OF_CONDUCT.md: Contributor Covenant v2.1 (Chinese) - SECURITY.md: vulnerability reporting policy - CONTRIBUTING.md: add contributor ladder (Contributor→Triage→Committer→Maintainer) - dependabot.yml: auto dependency updates (pip/npm/actions weekly) - auto-label.yml + labeler.yml: PR auto-labeling by file path - stale.yml: auto-close stale Issues (60d) and PRs (30d) - Issue templates: add question.md, config.yml, needs-triage label - Branch protection: require PR reviews, CI checks, code owner approval
1.6 KiB
1.6 KiB
🔒 安全政策
支持的版本
| 版本 | 支持状态 |
|---|---|
| main (latest) | ✅ 积极维护 |
Docker latest |
✅ 积极维护 |
| 旧版本 | ❌ 不再维护 |
报告安全漏洞
请勿通过公开的 GitHub Issue 报告安全漏洞。
如果你发现了安全问题,请通过以下方式私密报告:
- 首选方式:使用 GitHub Security Advisories 创建私密安全报告
- 备选方式:发送邮件至维护者(请在 GitHub Profile 中获取联系方式)
报告应包含
- 漏洞类型(如:XSS、注入、权限绕过等)
- 受影响的文件路径和代码行
- 复现步骤
- 潜在影响评估
- 修复建议(如果有的话)
响应时间
| 阶段 | 时间 |
|---|---|
| 确认收到 | 48 小时内 |
| 初步评估 | 7 天内 |
| 修复发布 | 视严重程度,通常 30 天内 |
负责任披露
我们遵循负责任披露原则:
- 收到报告后会尽快确认并评估
- 修复完成前不会公开漏洞详情
- 修复发布后会在 Release Notes 中致谢报告者(除非报告者要求匿名)
- 我们不会对善意的安全研究者采取法律行动
安全最佳实践
如果你部署了三省六部系统,建议:
- 定期更新到最新版本
- 不要将
data/目录暴露到公网 - 配置防火墙限制看板端口(默认 7891)的访问
- 使用反向代理(如 Nginx)时启用 HTTPS
- 为 LLM API Key 设置最小必要权限
致谢
我们感谢所有帮助提升三省六部系统安全性的安全研究者。