安全策略
受支持的版本
Coffer 当前处于 v1 之前阶段,仅 main 分支受支持。已发布的旧版本不提供安全补丁回移 (backport)。
报告漏洞
请不要为安全问题创建公开的 GitHub issue。
请走以下两个私密渠道之一:
- GitHub Private Vulnerability Reporting(推荐):通过 https://github.com/wyx-sg/Coffer/security/advisories/new 提交。已登录用户可在 Security 标签页看到 "Report a vulnerability" 按钮。
- 邮件:hutwyx@gmail.com。如果你持有维护者的公开 PGP 公钥,请加密发送;非关键问题以明文发送亦可。
报告内容
- 受影响的 commit 或版本。
- 复现步骤(最小化仓库、日志片段)。
- 影响评估。
- 如有,请附建议的缓解方案。
响应时效
| 阶段 | 目标 |
|---|---|
| 确认收到 | 72 小时内 |
| 初步分类 / 首次响应 | 7 天内 |
| 修复 / 披露时间线 | 按个案协商,通常 30–90 天 |
Coffer 是 v1 之前由单一维护者维护的项目 —— 响应时效尽力而为,不构成 SLA 承诺。