当前仓库默认接受以下安全问题报告:
- 认证与会话问题
- 权限绕过
- 敏感信息泄露
- 文件上传与下载缺陷
- Docker / 配置默认值导致的明显风险
如果你发现安全问题,请不要直接公开提交包含利用细节的 issue。
建议最少包含:
- 影响范围
- 复现步骤
- 风险描述
- 可能的修复建议
如果无法提供私密披露渠道,请至少避免在公开 issue 中附带密钥、令牌、数据库内容、用户隐私数据或可直接复现攻击的完整 payload。
- 不要提交真实密钥、证书、令牌、数据库连接串或对象存储凭据
- 所有示例配置必须使用占位值
- 本地调试配置应存放在未纳入版本控制的文件中