安全
本頁記錄 AIMO 標準的安全政策,包括漏洞報告和揭露程序。
範圍
範圍內
- 驗證器參考實作(
validator/) - 建置和發布工具(
tooling/) - JSON 結構描述(
schemas/) - 文件網站基礎設施
範圍外
- 規格內容(規範性文本不是安全人工產物)
- 使用 AIMO 標準的採用者實作
- 外部相依性(向上游維護者報告)
支援的版本
| 版本 | 支援 |
|---|---|
| latest (dev) | 是 |
| 標記的發布(vX.Y.Z) | 是(最近 2 個次要版本) |
| 較舊的發布 | 否(建議升級) |
報告漏洞
請勿為安全漏洞開啟公開的 GitHub issue。
流程
- 透過 GitHub 的私密漏洞報告功能進行私密報告
- 包含:說明、重現步驟、受影響的版本、影響
- 允許時間進行評估和修復開發
時程
| 階段 | 時程 |
|---|---|
| 確認 | 72 小時 |
| 初步評估 | 7 天 |
| 協調揭露 | 最多 90 天 |
揭露政策
- 漏洞私密報告
- 在公開揭露前開發修復
- 在修復可用後發布安全公告
- 報告者獲得署名(除非要求匿名)
安全措施
- 所有變更的 CI/CD 檢查
- 帶有 SHA-256 校驗和的簽名發布
- 合併前的強制 PR 審查
完整政策
請參閱 SECURITY.md 了解完整的安全政策。