我们非常重视项目的安全性。如果您发现了任何安全漏洞,请按照以下指南进行报告。
请不要在 GitHub Issues 中公开报告安全漏洞!
请通过以下方式联系我们:
- 首选方式:发送邮件至 astock-agents@proton.me
- 备用方式:通过 GitHub 私下联系
请包含以下信息:
- 安全漏洞的类型和描述
- 复现漏洞的步骤
- 可能的漏洞利用方式
- 您的联系方式(可选)
- 初步响应:我们会在 24-48 小时内确认收到您的报告
- 详细响应:我们会在 7 天内提供更详细的处理计划
- 修复时间:根据漏洞的严重程度,我们会在 30 天内发布修复
| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ 活跃维护 |
| < 1.0 | ❌ 不再维护 |
-
API 密钥保护
- 永远不要将 API 密钥提交到代码仓库
- 使用环境变量存储敏感信息
- 参考
config.yaml.example创建本地配置文件
-
数据安全
- 本地数据库文件应妥善保管
- 定期备份重要数据
-
网络访问
- 仅允许可信的网络环境访问
- 生产环境建议使用 HTTPS
-
依赖管理
- 定期更新依赖包
- 使用
pip audit或类似工具检查漏洞
-
代码审查
- 所有 PR 必须经过代码审查
- 敏感操作需要额外验证
-
日志记录
- 不要在日志中记录敏感信息
- 实现日志脱敏机制
请在 .env 文件中配置以下内容(不要提交到版本控制):
# LLM API 密钥
OPENAI_API_KEY=your-api-key-here
ANTHROPIC_API_KEY=your-api-key-here
# 数据库密码(如使用)
DATABASE_PASSWORD=your-password-here
# 其他敏感配置
SECRET_KEY=your-secret-key-here- 使用强密码和 SSH 密钥
- 启用防火墙
- 使用 HTTPS
- 定期更新系统和依赖
- 实施访问控制
目前我们不提供漏洞赏金,但我们会:
- 在 CHANGELOG 中致谢安全研究者
- 在安全公告中提及贡献者
如需紧急联系,请通过以下方式:
感谢您帮助我们保持项目安全!