Skip to content

Security: cliu-debug/aquant-agent

Security

SECURITY.md

安全政策

我们非常重视项目的安全性。如果您发现了任何安全漏洞,请按照以下指南进行报告。


报告漏洞

报告方式

请不要在 GitHub Issues 中公开报告安全漏洞!

请通过以下方式联系我们:

  1. 首选方式:发送邮件至 astock-agents@proton.me
  2. 备用方式:通过 GitHub 私下联系

报告内容

请包含以下信息:

  • 安全漏洞的类型和描述
  • 复现漏洞的步骤
  • 可能的漏洞利用方式
  • 您的联系方式(可选)

响应时间

  • 初步响应:我们会在 24-48 小时内确认收到您的报告
  • 详细响应:我们会在 7 天内提供更详细的处理计划
  • 修复时间:根据漏洞的严重程度,我们会在 30 天内发布修复

支持的版本

版本 支持状态
1.0.x ✅ 活跃维护
< 1.0 ❌ 不再维护

安全最佳实践

用户注意事项

  1. API 密钥保护

    • 永远不要将 API 密钥提交到代码仓库
    • 使用环境变量存储敏感信息
    • 参考 config.yaml.example 创建本地配置文件
  2. 数据安全

    • 本地数据库文件应妥善保管
    • 定期备份重要数据
  3. 网络访问

    • 仅允许可信的网络环境访问
    • 生产环境建议使用 HTTPS

开发者注意事项

  1. 依赖管理

    • 定期更新依赖包
    • 使用 pip audit 或类似工具检查漏洞
  2. 代码审查

    • 所有 PR 必须经过代码审查
    • 敏感操作需要额外验证
  3. 日志记录

    • 不要在日志中记录敏感信息
    • 实现日志脱敏机制

安全相关配置

环境变量

请在 .env 文件中配置以下内容(不要提交到版本控制):

# LLM API 密钥
OPENAI_API_KEY=your-api-key-here
ANTHROPIC_API_KEY=your-api-key-here

# 数据库密码(如使用)
DATABASE_PASSWORD=your-password-here

# 其他敏感配置
SECRET_KEY=your-secret-key-here

生产环境建议

  1. 使用强密码和 SSH 密钥
  2. 启用防火墙
  3. 使用 HTTPS
  4. 定期更新系统和依赖
  5. 实施访问控制

漏洞赏金

目前我们不提供漏洞赏金,但我们会:

  • 在 CHANGELOG 中致谢安全研究者
  • 在安全公告中提及贡献者

联系方式

如需紧急联系,请通过以下方式:


感谢您帮助我们保持项目安全!

There aren't any published security advisories