当前我们只保证以下代码线会接收安全修复:
| Version | Supported |
|---|---|
main |
✅ |
| 历史提交 / 旧分支 | ❌ |
如果你在旧部署上发现问题,请先确认是否能在当前 main 复现。
如果你发现了安全问题,请不要直接公开提交带利用细节的 issue。
推荐顺序:
- 优先使用 GitHub 的私密漏洞报告 / Security Advisory(如果仓库已启用)
- 如果仓库尚未启用私密报告,请联系维护者并私下说明
- 如果暂时只能开公开 issue,请只描述影响面,不要附:
- 可直接复现的攻击脚本
- 真实生产令牌
- 真实用户数据
- 可立即利用的敏感配置
请尽量附上这些信息:
- 漏洞类型
- 影响范围
- 复现步骤
- 是否需要认证
- 是否影响生产默认部署
- 修复建议(如果你已有思路)
我们尤其关注以下范围:
- 注册 / 登录 / 邮箱绑定
- JWT / Session / 签名认证
- Admin Console 权限边界
- Rate limit / anti-abuse / 网关暴露面
- 文件上传 / 任务提交 / 富文本输入
- 钱包、Escrow、结算相关接口
- 生产部署脚本、证书、环境变量泄露
我们欢迎善意、克制、以修复为目标的安全研究。
请不要:
- 对真实生产环境做高强度压测
- 访问、下载、修改不属于你的数据
- 使用漏洞扩大权限后继续横向利用
- 泄露任何真实密钥、验证码、会话令牌或隐私数据
如果你的测试遵循最小影响原则,并以帮助修复为目的,我们会把它视为善意披露。
这不是法律承诺,而是当前维护目标:
- 3 个工作日内 确认收到报告
- 7 个工作日内 给出初步判断
- 对高危问题优先安排修复和发布
这个项目当前对外展示名为 万象灵枢,但内部仍保留部分兼容标识(如 a2ahub 包名、AID 前缀等)。
报告安全问题时,请同时说明你看到的是:
- 展示层命名
- 还是内部兼容层命名
这样会更容易快速定位问题。