我们仅对最新发布的版本提供安全更新支持。
| 版本 | 支持状态 |
|---|---|
| 最新版本 | ✅ 支持 |
| 旧版本 | ❌ 不支持 |
请始终使用最新版本的 tools/upgrade.sh 升级到最新框架版本。
如果您发现安全漏洞,请不要通过公开 Issue 报告。
- 推荐:通过 GitHub Security Advisory 提交私密报告
- 备选:发送邮件至 [INSERT EMAIL ADDRESS]
请在报告中包含以下信息:
- 漏洞描述
- 复现步骤
- 受影响的版本和文件
- 潜在影响评估
- 建议的修复方案(如有)
| 阶段 | 时间 |
|---|---|
| 确认收到 | 48 小时内 |
| 初步评估 | 7 天内 |
| 修复发布 | 视严重程度,通常 30 天内 |
- 我们遵循负责任的披露原则
- 修复发布后 90 天,或经双方协商同意后,漏洞详情将公开
- 报告者将在 CHANGELOG 中获得致谢(除非要求匿名)
由于本框架涉及 Shell 脚本和文件同步操作,使用时请注意:
- 仅从可信来源执行
upgrade.sh和harvest.sh - 升级前使用
--dry-run预览变更 - 审查
harvest.sh收割的内容,避免引入不安全代码 - 不要将敏感信息(密钥、凭据)写入被框架管理的文件中