感谢您帮助 StudyHub 保持安全。

如果您发现了潜在的安全问题，请不要通过公开 Issue、Pull Request 或讨论区直接披露细节。 请使用 GitHub 的私密漏洞上报功能；或者通过邮件联系维护者 chengjinli@std.uestc.edu.cn。

当前默认支持以下代码范围的安全问题报告：

• main 分支上的最新代码
• 当前线上部署对应的最新版本

历史分支、个人 fork、明显过期的实验代码一般不在优先支持范围内。

• 使用 GitHub 的 Private vulnerability reporting
• 发送邮件到 chengjinli@std.uestc.edu.cn
• 邮件标题建议使用：[StudyHub Security] 简短问题描述

建议在报告中尽量包含：

• 漏洞类型与影响范围
• 复现步骤
• 受影响的接口、页面或模块
• 可能的利用条件
• 如有必要，附上最小 PoC

为了避免影响真实用户与线上服务，请不要：

• 在公开 Issue 中直接贴出漏洞细节
• 对生产环境进行破坏性测试
• 删除、覆盖、批量修改真实业务数据
• 上传恶意文件、恶意脚本或大规模压测流量
• 尝试访问、导出或传播任何不属于你的用户数据

如果需要验证问题，请尽量使用最小影响方式，并优先说明你的验证边界。

以下问题通常会被视为安全问题：

• 身份认证绕过
• 权限提升或越权访问
• 任意文件读取 / 下载绕过
• 支付、结算、订单流程的逻辑绕过
• 敏感信息泄露
• SQL 注入、命令注入、模板注入
• 存储型 / 反射型 XSS
• SSRF、路径遍历、反序列化风险
• 可被稳定利用的上传链路漏洞

以下问题通常不属于安全漏洞，或优先级较低：

• 纯样式问题、文案问题、排版问题
• 对已明确废弃分支的报告
• 缺少实际利用路径的理论性猜测
• 需要极不现实前提才能成立的问题
• 只影响本地开发环境、且不会进入生产的 mock / demo 行为

一般流程如下：

1. 收到报告后尽快确认是否已复现
2. 如果问题成立，会评估影响范围和修复优先级
3. 修复完成后，再决定是否公开披露细节

具体响应时间不做硬性承诺，但会尽量保持及时沟通。

请先私下报告，给维护者合理的修复时间。修复完成前，不建议公开披露完整利用细节。

感谢每一位负责任地提交安全问题的研究者和开发者！