MAD 项目团队致力于保护用户和项目的安全。我们认真对待所有安全报告。

当前受支持且接收安全更新的版本：

如果你发现了安全漏洞，请不要公开 Issue。

1. 发送邮件 至项目维护者

   • 邮件主题：[SECURITY] MAD 项目安全漏洞报告
   • 详细描述漏洞信息

2. 等待确认

   • 我们会在 48 小时内确认收到
   • 评估漏洞严重程度

3. 修复和发布

   • 我们会尽快修复漏洞
   • 发布安全更新版本

4. 公开披露

   • 修复后会公开漏洞信息
   • 感谢你的贡献

我们关注以下类型的安全问题：

• 数据泄露
• 未经授权的访问
• 代码注入
• 跨站脚本（XSS）
• 跨站请求伪造（CSRF）
• 依赖漏洞
• 配置安全问题

1. 保持更新

   • 定期更新到最新版本
   • 关注安全公告

2. 配置安全

   • 使用强密码
   • 启用访问控制
   • 配置防火墙

3. 数据保护

   • 定期备份重要数据
   • 加密敏感信息
   • 审查访问日志

1. 依赖管理

   • 定期更新依赖包
   • 运行 npm audit 检查漏洞
   • 使用 npm ci 而非 npm install

2. 代码审查

   • 所有代码需要审查
   • 使用安全编码规范
   • 避免硬编码敏感信息

3. 测试

   • 编写安全测试用例
   • 使用静态分析工具
   • 进行渗透测试

MAD 项目不会收集或存储以下信息：

• 用户凭据
• API 密钥
• 个人身份信息
• 敏感业务数据

• 安全问题： 通过 GitHub 私有报告功能
• 一般问题： GitHub Issues

感谢所有报告安全问题的贡献者！你们的努力让 MAD 更安全。

最后更新：2026-02-02