Skip to content

安全策略

报告漏洞

请不要在公开 Issue 中披露可利用漏洞、真实凭据或用户数据。维护者应在正式开源前创建私密报告渠道,例如托管平台的 Security Advisory 或专用安全邮箱,并在仓库 SECURITY.md 中公布。

报告建议包含:

  • 受影响版本和组件。
  • 前置条件、复现步骤与影响。
  • 最小化 PoC,避免包含真实数据。
  • 已知缓解方式。
  • 报告者联系方式与披露偏好。

支持范围

建议只对最新稳定小版本提供安全修复,并在此页面列出仍受支持的版本。修复发布后给出 CVE/GHSA(如适用)、影响说明、升级版本和临时缓解方式。

威胁模型要点

  • XSS 可读取 localStorage Token,因此富文本、URL、SVG 和服务端错误消息必须按上下文处理。
  • 前端隐藏按钮不等于授权;服务端必须校验每次操作。
  • 外部 API、iframe 和 WebSocket 可能泄露 Token 或业务数据,必须使用来源允许列表。
  • 上传与压缩包解析要限制大小、类型、层数、文件数和解压总量。
  • 依赖供应链包括 npm registry、SheetJS CDN、构建插件和锁文件。
  • 锁屏 PIN 是便利功能,不是强认证。

维护者响应流程

  1. 确认收到并建立私密跟踪。
  2. 复现、评估影响与受影响版本。
  3. 制作补丁、回归测试和临时缓解方案。
  4. 与报告者协调披露时间。
  5. 发布安全版本和公告,必要时轮换凭据。
  6. 复盘并增加测试或自动扫描,防止回归。

基于 MIT License 开源