Code Nest 涉及用户账户、内容发布、文件上传、WebSocket、AI Runtime、积分与运营后台等模块。请以私密、可复现、最小披露的方式报告安全问题。
当前优先支持以下版本线:
| Version | Supported |
|---|---|
| v2.2.x | Yes |
| v2.1.x | Security fixes only |
| < v2.1.0 | No |
请不要通过公开 Issue 披露安全漏洞。
建议报告内容:
- 漏洞类型:如越权、XSS、SQL 注入、SSRF、任意文件上传、敏感信息泄露、认证绕过等。
- 影响范围:受影响模块、接口、页面、角色或部署环境。
- 复现步骤:尽量提供最小复现路径、请求样例、截图或日志。
- 影响评估:可读取、修改、删除或绕过的资源范围。
- 修复建议:如有可行建议,请一并说明。
如果仓库未启用 GitHub Security Advisory,请通过项目维护者公开资料提供的私密渠道联系维护者。无法确认私密渠道时,请先提交一个不包含漏洞细节的 Issue,请求维护者提供安全联系方式。
维护者收到报告后将按以下流程处理:
- 确认报告是否属于安全问题。
- 评估影响范围、严重程度和可利用性。
- 在私有分支或安全修复分支中完成修复。
- 执行必要的回归验证和安全验证。
- 发布修复版本或补丁说明。
- 在风险解除后公开必要的安全公告。
禁止提交或公开:
- 数据库账号、Redis 密码、对象存储密钥、JWT secret、第三方 API key。
- 生产环境 Cookie、Token、Session、用户手机号、邮箱、身份证明或聊天记录。
- 未脱敏日志、数据库导出、错误堆栈中的内网地址和凭据。
- 可直接复用的攻击 payload 和完整利用脚本,除非已在私密渠道沟通。
提交涉及以下内容的 PR 时,需要额外说明安全影响:
- 登录、注册、鉴权、权限、角色、菜单、会话。
- 文件上传、下载、预览、删除和公开访问。
- Markdown、富文本、
v-html或任意 HTML 渲染。 - WebSocket 握手、消息广播、聊天室风控。
- 积分、抽奖、排行榜、运营后台高权限操作。
- AI Prompt、RAG 检索、外部模型调用和结构化输出。
- SQL 拼接、动态查询、批量导入、数据迁移。
建议定期检查:
- Maven 依赖漏洞。
- npm 依赖漏洞。
- Docker 镜像基础层漏洞。
- GitHub Actions 权限和第三方 Action 版本锁定。
如发现高危依赖漏洞,请优先提交安全修复 PR,并在 PR 中说明升级影响和兼容性验证结果。