本文件是 MathArts 的组织级默认安全策略。项目仓库存在本地 SECURITY.md 时,以其中的项目支持范围和报告入口为准;本文件规定的私密报告与最小披露原则仍然适用。
项目仓库应说明具体支持版本。没有项目特定说明时,默认范围如下:
| 状态 | 默认安全支持 |
|---|---|
| 最新稳定版本 | 支持 |
| 默认分支 | 接受报告,但不保证适合生产使用 |
| 明确标记为受支持的旧版本 | 支持 |
| 预发布或实验性版本 | 接受报告,按尽力原则处理 |
| 已弃用版本或归档仓库 | 通常不再修复 |
即使版本不受支持,仍欢迎报告可能影响当前版本、其他 MathArts 项目或软件供应链的问题。
可能破坏机密性、完整性或可用性的问题应私密报告,包括但不限于:
- 任意代码执行、注入、路径遍历或未授权文件访问
- 身份验证、授权或隔离边界绕过
- 未授权读取、修改或删除数据
- 令牌、密钥、凭证或敏感信息泄露
- 可利用的反序列化、跨站脚本、请求伪造或拒绝服务
- 不安全的默认配置或加密、签名、随机数缺陷
- 包、构建、发布、依赖或 GitHub Actions 供应链被篡改
无法确定是否属于漏洞时,请优先私密报告。
普通功能错误、文档问题、算法或流派差异、不涉及安全边界的性能问题和社区行为问题,通常应分别使用 Issue、Discussion 或社区行为准则中的渠道。
首选受影响仓库 Security 页面中的 Report a vulnerability 入口。
如果该入口不可用,请发送邮件至 lzm0x219@gmail.com,建议标题为:
[MathArts Security] 仓库名称:漏洞摘要
请勿在公开 Issue、Pull Request、Discussion、社交媒体或公开代码仓库中披露尚未修复的漏洞细节。
请尽可能提供:
- 受影响的仓库、版本、提交或发布产物
- 漏洞类型、攻击场景和潜在影响
- 最小复现步骤或概念验证
- 所需权限、配置和环境
- 已知缓解方式和披露时间要求
- 是否已经联系上游项目
- 是否希望在公告中署名
不要发送与验证无关的个人数据、生产数据或完整凭证。较大的敏感材料应先发送摘要,与维护者确认传输方式。
发现 MathArts 的令牌、密码、私钥或发布凭证泄露时:
- 不要继续使用或公开复制凭证
- 立即通过私密渠道报告
- 有权限时优先撤销或轮换凭证
- 提供发现位置,但尽量不要重复完整秘密
删除公开内容不能使已泄露凭证恢复安全。
维护者通常会:
- 确认收到报告并判断是否需要立即保护措施
- 复现问题,确认受影响项目和版本
- 在私密环境中开发、评审和验证修复
- 准备升级说明、缓解措施和必要的安全公告
- 与报告者和受影响的上游或下游项目协调披露
我们的目标是在 7 个自然日内确认收到报告,并在之后 14 个自然日内提供初步评估或进度说明。这是开源维护目标,不构成服务等级协议。
请给予维护者合理的复现、修复和通知时间。披露时间应综合考虑漏洞是否已公开、是否正在利用、修复复杂度和用户风险。
MathArts 不会要求报告者无限期保持沉默。处理明显停滞时,报告者应先请求状态更新,并在公开前给予合理通知。
在报告者同意且不会增加风险时,MathArts 可以在安全公告中署名致谢。
MathArts 欢迎以保护用户为目的的善意研究。研究者应:
- 只进行确认漏洞所需的最小测试
- 避免破坏数据、服务或其他用户的正常使用
- 发现敏感数据后立即停止进一步访问
- 不使用社会工程、拒绝服务或持久化访问
- 及时私密报告并遵守适用法律与第三方平台规则
本策略不授权测试 MathArts 无权控制的第三方系统,也不代表第三方提供法律豁免。无法确认测试边界时,请先提交研究计划。
本文件由 MathArts 组织维护者负责维护。项目存在不同发布周期、支持版本、响应人员或安全边界时,应维护简短的本地安全策略并链接本文件。