本仓库仍处于活跃开发阶段。安全修复通常会优先落在默认分支的最新版本上。
如果你怀疑发现了安全漏洞,请不要公开提交 Issue。
建议按以下方式处理:
- 通过私下渠道联系维护者。
- 提供最小复现步骤、受影响文件或接口,以及潜在影响说明。
- 删除示例中的密钥、密码、令牌与数据库连接地址。
如果仓库已启用 GitHub Security Advisories,优先使用私密安全通告渠道。
- 初次确认目标:3 个工作日内响应
- 状态更新目标:在可复现的前提下,7 个工作日内提供进展
- 不要提交真实的
.env文件。 - 使用
backend/.env.example作为公开模板。 - 任何疑似已泄露或误提交的凭据都应立即轮换。