跳转至

安全说明

这个仓库主要发布文档、示例和模板,不发布线上服务或可安装软件包。安全问题通常来自文档内容本身,例如示例命令、外部链接、截图或误提交的敏感信息。

适合报告的问题

  • 文档里出现真实 token、密钥、账号、内部路径或私人信息。
  • 示例命令可能造成破坏性操作,但正文没有明确警告。
  • 外部链接被劫持、跳转到恶意页面,或下载内容和描述不一致。
  • 模板会诱导用户提交敏感文件,例如 .env、私钥或生产日志。

普通错别字、坏链和内容过时问题,请使用 issue 模板,不需要走安全流程。

报告方式

如果 GitHub 仓库启用了 Security Advisories,请优先通过 GitHub 的 Security 页面报告。没有私密报告入口时,可以开公开 issue,但不要贴出密钥、个人信息、可直接滥用的 payload 或完整利用步骤。

Gitee 镜像也可以接收 issue。为了避免信息散落,能在 GitHub 主仓库报告的问题优先放在 GitHub。

报告时请尽量提供:

  • 相关文件路径和行号。
  • 问题类型和潜在影响。
  • 你建议的修复方式。
  • 是否已经在公开页面、搜索引擎缓存或 fork 中出现。

处理预期

维护者会按空闲时间处理安全报告,不承诺固定响应时限。确认问题后,通常会先移除敏感内容或危险链接,再补充说明和防再发检查。