| 版本 | 支持状态 |
|---|---|
| 1.x | ✅ 积极维护中 |
| < 1.0 | ❌ 不再支持 |
我们非常重视 @aemeath-projects/napcat 及 NapCat 生态的安全。如果您发现了安全漏洞,请不要在 GitHub 公开提交 Issue,请按以下方式私下报告。
- 访问本仓库的 Security 标签页:安全公告页
- 点击 Report a vulnerability 绿色按钮
- 填写表单,提供足够的复现信息
GitHub 安全公告渠道会直接将您的报告提交给仓库管理员,并支持私密讨论与协作修复。
如果安全公告功能不可用,您也可以通过以下方式联系:
为了使问题得到快速处理,请在报告中包含:
- 漏洞类型(例如:XSS、SQL 注入、权限绕过等)
- 受影响的功能模块或端点
- 复现步骤(包含代码、配置、请求示例等)
- 预期行为与实际行为
- 潜在的危害评估
- 环境信息(Node.js 版本、操作系统等)
- 如有缓解措施或修复建议,也请一并附上
提交报告后,我们会:
- 确认收到 — 1 个工作日内确认您的报告
- 评估 — 评估漏洞的严重性和影响范围
- 修复 — 在修复开发过程中与您保持沟通
- 发布 — 修复完成后发布安全更新,并在 GitHub Releases 中公告
- 致谢 — 如您同意,我们会在安全公告中公开致谢
我们遵循 负责任的披露(Responsible Disclosure) 原则:
- 我们承诺在 90 天内 完成修复
- 在补丁发布之前,请勿公开披露漏洞细节
- 我们欢迎安全研究者在修复完成后发表技术分析文章(经协调后)
本项目(@aemeath-projects/napcat)是一个面向 NapCat 的 OneBot 11 TypeScript SDK。以下内容属于本安全策略的覆盖范围:
@aemeath-projects/napcatnpm 包及其公开的子路径模块(/core、/transport、/api、/types、/utils)- 所有层面的输入处理(WebSocket、HTTP、SSE 消息接收与发送)
- 身份验证与授权机制
- API 调用中的数据校验与序列化
以下内容不属于本安全策略的范围:
- NapCat 本体或其他 NapCat 生态项目(请直接联系对应维护者)
- QQ 协议本身的安全问题
- 使用者自行编写的 Bot 逻辑中的安全缺陷