Skip to content

安全策略

受支持的版本

Coffer 当前处于 v1 之前阶段,main 分支受支持。已发布的旧版本不提供安全补丁回移 (backport)。

报告漏洞

请不要为安全问题创建公开的 GitHub issue。

请走以下两个私密渠道之一:

  1. GitHub Private Vulnerability Reporting(推荐):通过 https://github.com/wyx-sg/Coffer/security/advisories/new 提交。已登录用户可在 Security 标签页看到 "Report a vulnerability" 按钮。
  2. 邮件hutwyx@gmail.com。如果你持有维护者的公开 PGP 公钥,请加密发送;非关键问题以明文发送亦可。

报告内容

  • 受影响的 commit 或版本。
  • 复现步骤(最小化仓库、日志片段)。
  • 影响评估。
  • 如有,请附建议的缓解方案。

响应时效

阶段目标
确认收到72 小时内
初步分类 / 首次响应7 天内
修复 / 披露时间线按个案协商,通常 30–90 天

Coffer 是 v1 之前由单一维护者维护的项目 —— 响应时效尽力而为,不构成 SLA 承诺。