本仓库(Y2A-Auto)会尽量及时、负责地处理安全漏洞。感谢安全研究者和用户对本项目安全性的关注与贡献。为了让沟通更顺畅,请尽量通过下面的流程提交漏洞报告。
请将安全问题通过电子邮件发送到:fqscfqj@outlook.com
- 请不要在公开的 issue、PR、讨论区或社交媒体上发布漏洞细节,直到问题得到修复并且双方已经约定公开披露安排。
- 如果你希望以加密方式提交敏感信息,请在邮件中注明;如维护者后续提供 PGP 公钥,可优先使用。当前未提供公钥时,请先通过邮件说明你的加密需求。
为了加速确认与修复,请在邮件中尽可能包含以下信息:
- 简短概述(一句话概括漏洞类型与影响)
- 受影响的组件/功能与具体版本(例如:分支
main、发布版本1.2.3、或 Docker 镜像标签) - 可重现步骤(步骤越详细越好)
- 预期结果与实际结果
- 漏洞利用的 PoC(概念验证)或最小复现代码(如果可用)
- 攻击所需的权限或环境(是否需要认证、特定配置等)
- 漏洞的潜在影响(如远程执行、信息泄露、权限提升等)
- 附件与日志(错误日志、抓包、截图等)
- 你的联系方式(电子邮件地址)以及是否希望匿名或被列为致谢作者
本项目不是全职维护,维护者主要在业余时间处理安全邮件,因此无法承诺工作日白天的即时回复。若你在工作日白天发送邮件,通常也可能需要等到晚间、周末或下一次有空时集中处理。
在没有特殊情况的前提下,我们通常会按照以下节奏推进:
- 确认收到(acknowledgement):通常会尽快回复,但由于是业余维护,时间可能从数小时到数个工作日不等。
- 初步评估与分级(triage):通常会在确认后尽快安排,具体时间取决于当时的空闲时间和问题复杂度。
- 修复或缓解(fix/mitigation):我们会根据严重度安排修复,目标时限一般为:
- 高危(可远程或范围影响):优先处理,目标在 30 天内发布修复或缓解方案。
- 中危:目标在 60 天内修复或给出缓解方案。
- 低危:在 90 天内处理或纳入下一个发布周期。 如有必要,我们会先提供临时缓解措施、配置建议或升级建议。
- 协调披露(coordinated disclosure):在修复并验证后,我们会与报告者协商公开披露时间;如报告者愿意参与联合公告或致谢,也欢迎在邮件中说明。若需要申请 CVE,我们会尽量配合。
- 若在上述时限内无法完成修复,我们会尽量持续更新处理进度和预计完成时间。
注意:以上时间仅为通常节奏,不构成严格承诺。实际处理可能因工作繁忙、周末、法定节假日、第三方依赖、复现难度或修复复杂度而调整。我们会尽量在邮件中说明原因并同步进度。
我们通常参考 CVSS 或类似标准对漏洞进行分级(仅作参考):
- Critical / 高危:远程执行、严重权限提升、大规模敏感数据泄露等
- High / 危险:明显的权限或隐私风险,需快速修复
- Medium / 中等:有限范围或条件触发的问题
- Low / 低:信息不足、难以利用或微小的安全问题
请在报告中标明你测试/发现漏洞的具体版本和分支。本仓库通常优先支持:
- 最新稳定发布版本(release)
- 主分支(main)
- 如果需要,我们会在本节明确列出“仍支持并会接收安全修复的版本”。(维护者可根据项目政策在此处列明)
- 请不要在公开渠道(issue、PR、论坛、微博等)披露漏洞细节,除非与维护者协商并得到允许。
- 请不要以自动化方式对本项目进行破坏性测试(如大规模爆破、DDoS),以免影响线上服务或误伤无关第三方。
只要研究者在遵守下列条件下负责任地披露漏洞,我们将视为善意报告并尽力提供保护:
- 报告者仅为确认和复现漏洞而访问测试环境,不对项目基础设施或第三方造成破坏。
- 报告者在未获得明确许可的情况下不利用漏洞进行恶意活动或公开敏感数据。
我们不会因善意、负责任的漏洞报告对研究者采取法律行动(在遵守上文前提下)。
如你愿意被列为贡献者或在安全通告中致谢,请在报告中注明你的署名或选择匿名。我们会在修复后征得同意再列出致谢信息。