| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ 支持 |
| < 1.0 | ❌ 不支持 |
如果您发现安全漏洞,请通过以下方式报告:
请勿在公开 Issue 中报告安全漏洞。
- 邮件报告:发送至 1691498165@qq.com
- GitHub Security Advisories:使用 GitHub 的私有漏洞报告功能
请包含以下信息:
- 漏洞类型
- 完整的重现步骤
- 受影响的版本
- 潜在影响
- 修复建议(如有)
- 确认收到:24 小时内
- 初步评估:72 小时内
- 修复计划:1 周内
- 确认漏洞并评估影响
- 开发修复方案
- 发布安全更新
- 公开披露(在修复发布后)
- 使用强密码
- 定期更新依赖
- 启用 HTTPS
- 配置防火墙
- 限制数据库访问
- 输入验证
- SQL 注入防护
- XSS 防护
- CSRF 防护
- 敏感信息加密
永远不要将以下信息提交到代码库:
- API 密钥
- 数据库密码
- JWT 密钥
- 任何敏感凭证
使用 .env 文件并确保它在 .gitignore 中。
本项目使用以下安全相关依赖:
- bcryptjs - 密码哈希
- jsonwebtoken - JWT 认证
- cors - 跨域资源共享
- helmet - HTTP 安全头(建议添加)
感谢所有负责任地披露安全漏洞的研究人员。
安全是我们的首要任务。 感谢您帮助保护本项目和用户。