目前只有最新版本的 Robocodec 会收到安全更新。
| 版本 | 支持 |
|---|---|
| 最新 | ✅ |
| 旧版 | ❌ |
如果您发现安全漏洞,请负责任地报告。
请勿为安全漏洞公开创建 issue。
请发送电子邮件至:security@archebase.com
在您的报告中包含以下信息:
- 描述:清晰描述漏洞
- 影响:漏洞的潜在影响
- 重现步骤:重现问题的详细步骤
- 概念验证:如适用,提供概念验证
- 受影响的版本:哪些版本受到影响
- 确认:您将收到确认收到您报告的电子邮件
- 评估:我们将评估漏洞并确定其严重程度
- 修复:我们将与您协调修复和披露
- 披露:当补丁可用时,我们将宣布安全修复
我们旨在在 48 小时内响应安全报告,并就我们的进展提供定期更新。
使用 Robocodec 处理不受信任的数据时:
- 验证输入:始终验证来自不受信任来源的数据
- 沙箱:考虑在沙箱环境中运行数据处理
- 资源限制:对文件大小和处理时间设置适当的限制
- 保持更新:使用最新版本以获得安全修复
Robocodec 包含多项安全意识设计选择:
- 内存安全:Rust 提供内存安全保证
- 输入验证:解码消息的模式验证
- 无任意代码执行:模式是声明性的,不可执行
我们定期更新依赖项以解决安全漏洞:
- 通过 Dependabot 自动更新依赖项
- 定期对依赖项进行安全审计
- 最小依赖项占用以减少攻击面
我们遵循协调披露:
- 修复漏洞
- 发布新版本
- 发布安全公告(如适用)
- 宣布修复
除非漏洞已经公开,否则我们不会在修复可用之前披露漏洞详细信息。