如果你发现安全漏洞,请不要创建公开 Issue。请通过以下方式私密报告:
我们将在 48 小时内确认收到报告,并在 7 天内提供初步评估。
- 报告 — 你通过上述渠道提交漏洞详情
- 确认 — 我们在 48 小时内确认收到
- 评估 — 我们在 7 天内评估影响范围和严重程度
- 修复 — 我们在私有分支上开发修复
- 发布 — 修复随安全公告一同发布,你将被署名致谢(如你同意)
- 披露 — 修复发布 30 天后公开披露技术细节
- 修改默认密钥:
.env中的所有密码、API Key 必须替换为强随机值 - 数据库密码:使用 16 位以上随机密码,避免弱密码
- JWT 密钥:生产环境使用强随机密钥,不要使用默认值
- 网络隔离:MySQL、Redis、ClickHouse 不要暴露在公网
- HTTPS:生产环境使用 Nginx 反向代理并启用 HTTPS
- 日志脱敏:确保日志中不包含用户敏感信息(密码、Token 等)
# 检查依赖漏洞(Maven)
mvn dependency-check:check
# 检查前端依赖
cd eify-web && npm audit| 版本 | 支持状态 |
|---|---|
| 1.0.0 | 积极支持 |
| < 1.0 | 不再支持 |
感谢以下安全研究者对本项目的贡献:
(待补充)