我们非常重视安全问题。如果您发现了安全漏洞,请不要通过公开的Issue报告,而是通过以下方式私下联系项目维护者:
- 发送电子邮件至 [项目维护者邮箱]
- 在邮件中详细描述漏洞情况,包括:
- 漏洞描述
- 复现步骤
- 可能的影响
- 建议的修复方案(如有)
- 一旦收到安全漏洞报告,我们将在48小时内确认收到
- 我们会评估漏洞的严重性和影响范围
- 开发修复方案并在私有环境中测试
- 发布安全更新,并在CHANGELOG中标注(不会详细描述漏洞细节,以防被利用)
- 在修复发布后,我们会公开致谢报告者(除非报告者要求匿名)
通常情况下,我们只为最新的主要版本提供安全更新。
| 版本 | 支持状态 |
|---|---|
| 最新版本 | ✅ |
| 旧版本 | ❌ |
使用本库时,请遵循以下安全最佳实践:
- 始终使用最新版本
- 定期检查更新
- 不要在不可信的环境中使用敏感功能