| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ 支持 |
| < 1.0 | ❌ 不支持 |
如果您发现安全漏洞,请不要在公开的 Issue 中报告。
请通过以下方式联系我们:
- 发送邮件至 [security@example.com]
- 在邮件中包含:
- 漏洞描述
- 复现步骤
- 潜在影响
- 建议的修复方案(如果有)
我们会在 48 小时内回复您,并在修复后公开披露漏洞。
- 不要在代码中硬编码数据库凭据
- 使用环境变量或配置文件存储敏感信息
- 使用最小权限原则配置数据库用户
- 定期轮换数据库密码
- 在生产环境中禁用 Swagger UI
- 配置适当的 CORS 策略
- 使用 HTTPS
- 实施速率限制
- 验证所有用户输入
- 使用参数化查询防止 SQL 注入
- 对输出进行适当的转义
我们定期检查并更新依赖项以修复已知的安全漏洞。
# 检查后端依赖
dotnet list package --vulnerable
# 检查前端依赖
npm audit