Skip to content

Security: matharts/.github

Security

SECURITY.md

MathArts 安全策略

本文件是 MathArts 的组织级默认安全策略。项目仓库存在本地 SECURITY.md 时,以其中的项目支持范围和报告入口为准;本文件规定的私密报告与最小披露原则仍然适用。

1. 支持范围

项目仓库应说明具体支持版本。没有项目特定说明时,默认范围如下:

状态 默认安全支持
最新稳定版本 支持
默认分支 接受报告,但不保证适合生产使用
明确标记为受支持的旧版本 支持
预发布或实验性版本 接受报告,按尽力原则处理
已弃用版本或归档仓库 通常不再修复

即使版本不受支持,仍欢迎报告可能影响当前版本、其他 MathArts 项目或软件供应链的问题。

2. 哪些问题应私密报告

可能破坏机密性、完整性或可用性的问题应私密报告,包括但不限于:

  • 任意代码执行、注入、路径遍历或未授权文件访问
  • 身份验证、授权或隔离边界绕过
  • 未授权读取、修改或删除数据
  • 令牌、密钥、凭证或敏感信息泄露
  • 可利用的反序列化、跨站脚本、请求伪造或拒绝服务
  • 不安全的默认配置或加密、签名、随机数缺陷
  • 包、构建、发布、依赖或 GitHub Actions 供应链被篡改

无法确定是否属于漏洞时,请优先私密报告。

普通功能错误、文档问题、算法或流派差异、不涉及安全边界的性能问题和社区行为问题,通常应分别使用 Issue、Discussion 或社区行为准则中的渠道。

3. 如何报告

首选受影响仓库 Security 页面中的 Report a vulnerability 入口。

如果该入口不可用,请发送邮件至 lzm0x219@gmail.com,建议标题为:

[MathArts Security] 仓库名称:漏洞摘要

请勿在公开 Issue、Pull Request、Discussion、社交媒体或公开代码仓库中披露尚未修复的漏洞细节。

4. 报告内容

请尽可能提供:

  • 受影响的仓库、版本、提交或发布产物
  • 漏洞类型、攻击场景和潜在影响
  • 最小复现步骤或概念验证
  • 所需权限、配置和环境
  • 已知缓解方式和披露时间要求
  • 是否已经联系上游项目
  • 是否希望在公告中署名

不要发送与验证无关的个人数据、生产数据或完整凭证。较大的敏感材料应先发送摘要,与维护者确认传输方式。

5. 凭证泄露

发现 MathArts 的令牌、密码、私钥或发布凭证泄露时:

  1. 不要继续使用或公开复制凭证
  2. 立即通过私密渠道报告
  3. 有权限时优先撤销或轮换凭证
  4. 提供发现位置,但尽量不要重复完整秘密

删除公开内容不能使已泄露凭证恢复安全。

6. 处理流程

维护者通常会:

  1. 确认收到报告并判断是否需要立即保护措施
  2. 复现问题,确认受影响项目和版本
  3. 在私密环境中开发、评审和验证修复
  4. 准备升级说明、缓解措施和必要的安全公告
  5. 与报告者和受影响的上游或下游项目协调披露

我们的目标是在 7 个自然日内确认收到报告,并在之后 14 个自然日内提供初步评估或进度说明。这是开源维护目标,不构成服务等级协议。

7. 协同披露

请给予维护者合理的复现、修复和通知时间。披露时间应综合考虑漏洞是否已公开、是否正在利用、修复复杂度和用户风险。

MathArts 不会要求报告者无限期保持沉默。处理明显停滞时,报告者应先请求状态更新,并在公开前给予合理通知。

在报告者同意且不会增加风险时,MathArts 可以在安全公告中署名致谢。

8. 善意研究

MathArts 欢迎以保护用户为目的的善意研究。研究者应:

  • 只进行确认漏洞所需的最小测试
  • 避免破坏数据、服务或其他用户的正常使用
  • 发现敏感数据后立即停止进一步访问
  • 不使用社会工程、拒绝服务或持久化访问
  • 及时私密报告并遵守适用法律与第三方平台规则

本策略不授权测试 MathArts 无权控制的第三方系统,也不代表第三方提供法律豁免。无法确认测试边界时,请先提交研究计划。

9. 策略维护

本文件由 MathArts 组织维护者负责维护。项目存在不同发布周期、支持版本、响应人员或安全边界时,应维护简短的本地安全策略并链接本文件。

There aren't any published security advisories