目前,只有最新版本的 Robocodec 接收安全更新。
| 版本 | 支持 |
|---|---|
| 最新 | ✅ |
| 旧版本 | ❌ |
如果您发现安全漏洞,请负责任地报告。
请勿为安全漏洞打开公开问题。
相反,请发送电子邮件至:security@archebase.com
在您的报告中包括以下信息:
- 描述:漏洞的清晰描述
- 影响:漏洞的潜在影响
- 重现步骤:重现问题的详细步骤
- 概念验证:如果适用,包括概念验证
- 受影响的版本:哪些版本受影响
- 确认:您将收到确认收到报告的电子邮件
- 评估:我们将评估漏洞并确定其严重程度
- 解决:我们将修复漏洞并与您协调披露
- 披露:我们将在有补丁可用时宣布安全修复
我们旨在 48 小时内响应安全报告,并定期更新我们的进展。
使用 Robocodec 处理不受信任的数据时:
- 验证输入:始终验证来自不受信任来源的数据
- 沙盒:考虑在沙盒环境中运行数据处理
- 资源限制:对文件大小和处理时间设置适当的限制
- 保持更新:使用最新版本以受益于安全修复
Robocodec 包括一些安全意识的设计选择:
- 内存安全:Rust 提供内存安全保证
- 输入验证:解码消息的模式验证
- 无任意代码执行:模式是声明性的,不可执行
我们定期更新依赖项以解决安全漏洞:
- 通过 Dependabot 自动更新依赖项
- 定期对依赖项进行安全审计
- 最小依赖项占用空间以减少攻击面
我们遵循协调披露:
- 修复漏洞
- 发布新版本
- 发布安全公告(如适用)
- 宣布修复
在修复可用之前,我们不会披露漏洞详细信息,除非漏洞已经公开。