如果你发现的是敏感问题,请不要直接公开提交 issue。
这类问题包括但不限于:
- 可能导致误导性安全建议的 skill 内容
- 可能鼓励不安全默认做法的 workflow guidance
- 可能泄露敏感信息的文档或示例
- 可能影响仓库使用者安全判断的错误说明
请通过 GitHub Private Vulnerability Reporting 私下报告:
- 仓库:https://github.com/motao123/dev-workflow-kit
- 报告页面:https://github.com/motao123/dev-workflow-kit/security/advisories/new
提交时尽量包含:
- 受影响的文件或 skill 名
- 复现 / 触发说明
- 建议的修复方向(可选)
这个仓库是一个 markdown-first 的 workflow skill repo,所以这里更关注:
- 文档和 guidance 是否会造成错误安全判断
- examples / evals 是否会引导不安全操作
- 某些 skill 的边界是否会误导用户进入高风险流程
以下内容通常不属于 SECURITY 报告范围,更适合走普通 issue / PR:
- 一般性的文档优化建议
- 非敏感措辞问题
- 普通 README 改进
- 与 skill 触发边界无关的排版问题
- 敏感问题:私下报告
- 一般 bug:走
Bug report - 文档改进:走
Docs improvement
在问题确认并修复之前,请避免公开披露敏感细节。