| 版本 | 支持状态 |
|---|---|
| 1.x.x | ✅ 支持 |
如果你发现了安全漏洞,请不要在公开的 Issue 中报告。
请通过以下方式私下报告:
- 发送邮件至项目维护者(请在 GitHub 个人主页查找联系方式)
- 或通过 GitHub 的 Security Advisory 功能报告
- 漏洞的详细描述
- 复现步骤
- 潜在影响
- 可能的修复建议(如果有)
- 我们会在 48 小时内 确认收到报告
- 我们会在 7 天内 提供初步评估
- 修复时间取决于漏洞的严重程度
-
敏感配置
- 不要将密码、密钥等敏感信息提交到代码仓库
- 使用环境变量或配置中心管理敏感配置
- 定期轮换密钥和密码
-
网络安全
- 生产环境使用 HTTPS
- 配置防火墙,限制不必要的端口访问
- 管理端部署在内网环境
-
数据库安全
- 使用强密码
- 限制数据库访问 IP
- 定期备份数据
-
JWT 配置
- 使用足够长度的密钥(至少 256 位)
- 设置合理的过期时间
- 生产环境更换默认密钥
-
依赖安全
- 定期更新依赖版本
- 使用
npm audit和mvn dependency-check检查漏洞
- 项目中的
bootstrap-dev.example.yaml包含示例配置,请勿在生产环境直接使用 - JWT 密钥需要在生产环境中更换为安全的随机值
- 支付相关配置需要使用正式的商户密钥
感谢你帮助保持 ClodRail 的安全!