安全策略
报告漏洞
请不要在公开 Issue 中披露可利用漏洞、真实凭据或用户数据。维护者应在正式开源前创建私密报告渠道,例如托管平台的 Security Advisory 或专用安全邮箱,并在仓库 SECURITY.md 中公布。
报告建议包含:
- 受影响版本和组件。
- 前置条件、复现步骤与影响。
- 最小化 PoC,避免包含真实数据。
- 已知缓解方式。
- 报告者联系方式与披露偏好。
支持范围
建议只对最新稳定小版本提供安全修复,并在此页面列出仍受支持的版本。修复发布后给出 CVE/GHSA(如适用)、影响说明、升级版本和临时缓解方式。
威胁模型要点
- XSS 可读取 localStorage Token,因此富文本、URL、SVG 和服务端错误消息必须按上下文处理。
- 前端隐藏按钮不等于授权;服务端必须校验每次操作。
- 外部 API、iframe 和 WebSocket 可能泄露 Token 或业务数据,必须使用来源允许列表。
- 上传与压缩包解析要限制大小、类型、层数、文件数和解压总量。
- 依赖供应链包括 npm registry、SheetJS CDN、构建插件和锁文件。
- 锁屏 PIN 是便利功能,不是强认证。
维护者响应流程
- 确认收到并建立私密跟踪。
- 复现、评估影响与受影响版本。
- 制作补丁、回归测试和临时缓解方案。
- 与报告者协调披露时间。
- 发布安全版本和公告,必要时轮换凭据。
- 复盘并增加测试或自动扫描,防止回归。