感谢你帮助 Ikaros 保持安全。如果你发现安全漏洞,请按照本文档的方式进行报告。
我们通常只为最新发布版本和 main 分支提供安全修复。请优先升级到最新版本后再确认问题是否仍然存在。
请不要在公开 Issue、讨论区或社交媒体中披露尚未修复的安全漏洞。
推荐通过 GitHub Security Advisory 私下报告:
- 打开项目的 Security 页面
- 选择 Report a vulnerability
- 尽量提供完整的复现信息
报告时请尽量包含:
- 受影响的版本或提交
- 漏洞类型和影响范围
- 复现步骤或最小复现示例
- 相关日志、截图或配置
- 你认为可行的修复建议(如有)
收到报告后,维护者会尽力按以下流程处理:
- 确认报告并评估影响范围
- 复现并验证漏洞
- 制定并实现修复方案
- 发布修复版本或修复提交
- 在合适的时间公开披露漏洞信息
具体响应时间可能受维护者时间和问题复杂度影响。
Ikaros 主要面向个人资源管理场景,不建议直接暴露到公网。如果需要远程访问,请至少采取以下措施:
- 使用反向代理并启用 HTTPS
- 配置强密码和访问控制
- 限制管理入口的访问来源
- 及时升级到最新版本
- 定期备份重要数据
普通 Bug、功能请求和使用问题请通过 GitHub Issues 提交。