安全
本页记录 AIMO 标准的安全政策,包括漏洞报告和披露程序。
范围
在范围内
- 验证器参考实现(
validator/) - 构建和发布工具(
tooling/) - JSON 模式(
schemas/) - 文档网站基础设施
超出范围
- 规范内容(规范文本不是安全工件)
- 使用 AIMO 标准的采用者实现
- 外部依赖(向上游维护者报告)
支持的版本
| 版本 | 支持 |
|---|---|
| 最新(dev) | 是 |
| 标记发布(vX.Y.Z) | 是(最新 2 个次要版本) |
| 旧版本 | 否(建议升级) |
报告漏洞
不要为安全漏洞打开公开的 GitHub 问题。
流程
- 通过 GitHub 的私人漏洞报告进行私下报告
- 包括:描述、重现步骤、受影响版本、影响
- 允许时间进行评估和修复开发
时间线
| 阶段 | 时间线 |
|---|---|
| 确认 | 72 小时 |
| 初步评估 | 7 天 |
| 协调披露 | 最多 90 天 |
披露政策
- 漏洞私下报告
- 在公开披露前开发修复
- 修复可用后发布安全公告
- 报告者获得致谢(除非要求匿名)
安全措施
- 所有更改的 CI/CD 检查
- 带有 SHA-256 校验和的签名发布
- 合并前的强制 PR 审查
完整政策
请参阅 SECURITY.md 获取完整的安全政策。