Skip to content

Security: ikaros-dev/ikaros

SECURITY.md

安全策略

感谢你帮助 Ikaros 保持安全。如果你发现安全漏洞,请按照本文档的方式进行报告。

支持范围

我们通常只为最新发布版本和 main 分支提供安全修复。请优先升级到最新版本后再确认问题是否仍然存在。

报告安全漏洞

请不要在公开 Issue、讨论区或社交媒体中披露尚未修复的安全漏洞。

推荐通过 GitHub Security Advisory 私下报告:

  • 打开项目的 Security 页面
  • 选择 Report a vulnerability
  • 尽量提供完整的复现信息

报告时请尽量包含:

  • 受影响的版本或提交
  • 漏洞类型和影响范围
  • 复现步骤或最小复现示例
  • 相关日志、截图或配置
  • 你认为可行的修复建议(如有)

处理流程

收到报告后,维护者会尽力按以下流程处理:

  1. 确认报告并评估影响范围
  2. 复现并验证漏洞
  3. 制定并实现修复方案
  4. 发布修复版本或修复提交
  5. 在合适的时间公开披露漏洞信息

具体响应时间可能受维护者时间和问题复杂度影响。

安全建议

Ikaros 主要面向个人资源管理场景,不建议直接暴露到公网。如果需要远程访问,请至少采取以下措施:

  • 使用反向代理并启用 HTTPS
  • 配置强密码和访问控制
  • 限制管理入口的访问来源
  • 及时升级到最新版本
  • 定期备份重要数据

非安全问题

普通 Bug、功能请求和使用问题请通过 GitHub Issues 提交。

Learn more about advisories related to ikaros-dev/ikaros in the GitHub Advisory Database