我们目前支持以下版本的安全更新:
| 版本 | 支持状态 |
|---|---|
| 3.0.x | ✅ 支持 |
| < 3.0 | ❌ 不支持 |
如果您发现了安全问题,请不要创建公开的 Issue。
请通过以下方式报告安全问题:
- 发送邮件到 doramart@qq.com
- 或者通过 GitHub 的 Security Advisories 功能
请在报告中包含以下信息:
- 安全问题的详细描述
- 复现步骤
- 潜在影响
- 建议的修复方案(如果有)
我们承诺:
- 24 小时内确认收到您的报告
- 7 天内提供初步评估
- 30 天内提供修复方案或更新
目前我们暂不提供漏洞奖励计划,但我们会在安全公告中公开致谢报告者(如果报告者同意)。
-
修改默认密钥
- 修改
APP_KEYS - 修改
SESSION_SECRET - 修改数据库密码
- 修改
-
使用 HTTPS
- 配置 SSL 证书
- 使用 Nginx 反向代理
-
限制访问
- 不要暴露数据库端口到公网
- 使用防火墙限制访问
- 配置 CORS 白名单
-
定期更新
- 定期更新依赖包
- 关注安全公告
- 及时应用安全补丁
-
监控和日志
- 启用日志记录
- 监控异常访问
- 定期审查日志
我们使用以下工具检查依赖安全:
pnpm audit- 检查依赖漏洞- GitHub Dependabot - 自动依赖更新
当前没有已知的安全问题。如果发现问题,我们会在此列出。
安全更新会在 Releases 中标记为安全更新。
- 安全问题:doramart@qq.com
- 一般问题:创建 Issue