feat(zh): add Chinese translations in zh/ directory
Add Chinese (Simplified) translations for all documentation, organized under a dedicated zh/ directory that mirrors the English folder structure. Co-authored-by: tanqingkuang <tanqingkuang@users.noreply.github.com> Translations originally contributed by @tanqingkuang in #45. Restructured from *-CN.md suffix pattern into zh/ directory to prevent the EPUB builder (scripts/build_epub.py collect_folder_files) from picking up Chinese files via glob("*.md") inside module folders.
This commit is contained in:
309
zh/.github/SECURITY_REPORTING.md
vendored
Normal file
309
zh/.github/SECURITY_REPORTING.md
vendored
Normal file
@@ -0,0 +1,309 @@
|
||||
# 安全漏洞报告
|
||||
|
||||
本文说明如何向 Claude How To 项目报告安全漏洞。
|
||||
|
||||
## 快速链接
|
||||
|
||||
- **私密报告**:<https://github.com/luongnv89/claude-howto/security/advisories>
|
||||
- **安全政策**:[SECURITY.md](../SECURITY.md)
|
||||
- **报告模板**:见下文
|
||||
|
||||
## 报告漏洞
|
||||
|
||||
### 选项 1:GitHub 私密漏洞报告(推荐)
|
||||
|
||||
这是报告安全漏洞的首选方式。
|
||||
|
||||
**步骤:**
|
||||
1. 访问:<https://github.com/luongnv89/claude-howto/security/advisories>
|
||||
2. 点击 “Report a vulnerability”
|
||||
3. 填写详情(可使用下方模板)
|
||||
4. 提交
|
||||
|
||||
**优点:**
|
||||
- 在修复发布前保持漏洞私密
|
||||
- 自动通知维护者
|
||||
- 内置协作功能
|
||||
- 与 GitHub 安全工具集成
|
||||
|
||||
### 选项 2:GitHub 安全警报(依赖漏洞)
|
||||
|
||||
如果你在依赖中发现漏洞:
|
||||
|
||||
1. 访问:<https://github.com/luongnv89/claude-howto/security/advisories>
|
||||
2. 查看警报
|
||||
3. 提交包含修复的 pull request
|
||||
4. 加上 `security` 标签
|
||||
|
||||
### 选项 3:私密邮箱(GitHub 不可用时)
|
||||
|
||||
如果你无法使用 GitHub 的报告系统:
|
||||
|
||||
**即将提供**:这里会补充安全联系邮箱
|
||||
|
||||
目前请优先使用上面的 GitHub 私密漏洞报告。
|
||||
|
||||
## 漏洞报告模板
|
||||
|
||||
报告漏洞时可使用以下模板:
|
||||
|
||||
```
|
||||
**标题**:[漏洞简述]
|
||||
|
||||
**严重性**:[Critical/High/Medium/Low]
|
||||
Estimated CVSS Score: [0-10]
|
||||
|
||||
**类型**:[代码/文档/依赖/配置]
|
||||
|
||||
**受影响组件**:
|
||||
- File: [path/to/file.py]
|
||||
- Section: [文档章节名,如适用]
|
||||
- Version: [latest/具体版本]
|
||||
|
||||
**描述**:
|
||||
[对漏洞的清晰说明]
|
||||
|
||||
**潜在影响**:
|
||||
[攻击者可以利用该漏洞做什么?]
|
||||
[可能影响哪些人?]
|
||||
|
||||
**复现步骤**:
|
||||
1. [第一步]
|
||||
2. [第二步]
|
||||
3. [第三步]
|
||||
[预期结果与实际结果]
|
||||
|
||||
**PoC**(如有):
|
||||
[用于演示漏洞的代码或步骤]
|
||||
|
||||
**建议修复**:
|
||||
[你的建议方案,如有]
|
||||
|
||||
**附加上下文**:
|
||||
[任何其他相关信息]
|
||||
|
||||
**你的信息**:
|
||||
- Name: [你的名字或匿名]
|
||||
- Email: [你的邮箱]
|
||||
- Credit: [你希望如何署名,如有]
|
||||
```
|
||||
|
||||
## 提交后会发生什么
|
||||
|
||||
### 时间线
|
||||
|
||||
1. **立刻(< 1 小时)**
|
||||
- 自动通知会发送给项目维护者
|
||||
|
||||
2. **24 小时内**
|
||||
- 对报告进行初步评估
|
||||
- 确认已收到
|
||||
- 初步严重性评估
|
||||
|
||||
3. **48 小时内**
|
||||
- 安全团队给出详细回复
|
||||
- 如需更多信息会继续询问
|
||||
- 如果确认漏洞存在,会给出修复时间线
|
||||
|
||||
4. **1-7 天内**(取决于严重性)
|
||||
- 完成修复并测试
|
||||
- 准备安全公告
|
||||
- 发布修复并公开公告
|
||||
|
||||
### 沟通方式
|
||||
|
||||
我们会通过以下方式与你保持沟通:
|
||||
- GitHub 私密漏洞讨论
|
||||
- 邮件(如果你提供了)
|
||||
- 讨论线程中的更新
|
||||
|
||||
你可以:
|
||||
- 提出澄清问题
|
||||
- 补充更多信息
|
||||
- 建议改进修复方案
|
||||
- 请求调整时间线
|
||||
|
||||
### 披露时间线
|
||||
|
||||
**严重问题(CVSS 9.0-10.0)**
|
||||
- 修复:立即发布(24 小时内)
|
||||
- 披露:当天发布公开公告
|
||||
- 通知:提前 24 小时通知报告者
|
||||
|
||||
**高危问题(CVSS 7.0-8.9)**
|
||||
- 修复:48-72 小时内发布
|
||||
- 披露:发布时公开公告
|
||||
- 通知:提前 5 天通知报告者
|
||||
|
||||
**中危问题(CVSS 4.0-6.9)**
|
||||
- 修复:纳入下一次常规更新
|
||||
- 披露:发布时公开公告
|
||||
- 通知:协调时间线
|
||||
|
||||
**低危问题(CVSS 0.1-3.9)**
|
||||
- 修复:纳入下一次常规更新
|
||||
- 披露:发布时公告
|
||||
- 通知:与发布同日
|
||||
|
||||
## 安全漏洞标准
|
||||
|
||||
### 范围内
|
||||
|
||||
我们接受以下类型的报告:
|
||||
|
||||
- **代码漏洞**
|
||||
- 注入攻击(命令、SQL 等)
|
||||
- 示例中的跨站脚本(XSS)
|
||||
- 认证/授权缺陷
|
||||
- 路径穿越漏洞
|
||||
- 密码学问题
|
||||
|
||||
- **文档安全**
|
||||
- 暴露的秘密或凭据
|
||||
- 不安全代码模式
|
||||
- 安全反模式
|
||||
- 误导性的安全声明
|
||||
|
||||
- **依赖漏洞**
|
||||
- 依赖中的已知 CVE
|
||||
- 供应链攻击
|
||||
- 恶意依赖
|
||||
|
||||
- **配置问题**
|
||||
- 不安全默认值
|
||||
- 缺失安全头
|
||||
- 示例中的凭据暴露
|
||||
|
||||
### 范围外
|
||||
|
||||
以下内容不接受报告:
|
||||
|
||||
- Claude Code 本身的漏洞(请联系 Anthropic)
|
||||
- 外部服务中的漏洞
|
||||
- 没有证明的理论漏洞
|
||||
- 已向上游项目报告的问题
|
||||
- 社会工程学或钓鱼
|
||||
- 用户教育 / 培训问题
|
||||
|
||||
## 负责任披露指南
|
||||
|
||||
### 应该做的 ✅
|
||||
|
||||
- **先私下报告**,再公开披露
|
||||
- **尽量具体**,提供文件路径和行号
|
||||
- **提供证明**,说明漏洞确实存在
|
||||
- **给我们时间**修复(协调披露)
|
||||
- **补充更新**,如果你发现了更多细节
|
||||
- **保持专业**,在所有沟通中都如此
|
||||
- **尊重保密性**,直到我们公开发布
|
||||
|
||||
### 不应该做的 ❌
|
||||
|
||||
- **不要在修复前公开披露**
|
||||
- **不要超出测试所需范围去利用漏洞**
|
||||
- **不要修改**其他用户的数据
|
||||
- **不要索要**报酬或好处
|
||||
- **不要把漏洞**分享给其他人
|
||||
- **不要用于**任何有害用途
|
||||
- **不要用**非安全相关 issue 刷屏
|
||||
|
||||
## 协调披露
|
||||
|
||||
我们遵循负责任披露流程:
|
||||
|
||||
1. **私密报告**:你先私下告诉我们
|
||||
2. **我们评估**:判断并评估严重性
|
||||
3. **开发修复**:我们开发并测试修复
|
||||
4. **提前通知**:在公开披露前提前通知你
|
||||
5. **公开发布**:我们同时发布修复和公告
|
||||
6. **你的署名**:如你愿意,会在公告中致谢
|
||||
|
||||
**具体时间会根据严重性变化**(见上文)
|
||||
|
||||
## 修复发布后
|
||||
|
||||
### 公开公告
|
||||
|
||||
公开安全公告通常包含:
|
||||
- 漏洞描述
|
||||
- 受影响版本
|
||||
- 严重性(CVSS 分数)
|
||||
- 修复步骤
|
||||
- 修复链接
|
||||
- 对报告者的致谢(如获许可)
|
||||
|
||||
### 你的署名
|
||||
|
||||
如果你希望被致谢:
|
||||
- 公告中会写上你的名字/昵称
|
||||
- 可附上你的个人资料或网站链接
|
||||
- 在发布说明中致谢
|
||||
- 如果未来建立名人堂,也可能加入
|
||||
|
||||
### 不提供金钱补偿
|
||||
|
||||
请注意:
|
||||
- 这是一个志愿者维护的开源项目
|
||||
- 我们无法提供金钱奖励
|
||||
- 但会提供认可和署名
|
||||
- 你的贡献会帮助整个社区
|
||||
|
||||
## 安全研究
|
||||
|
||||
如果你在做安全研究:
|
||||
|
||||
1. **先取得许可**:先联系维护者
|
||||
2. **明确范围**:约定你会测试什么
|
||||
3. **报告发现**:使用本流程
|
||||
4. **尊重时间线**:给我们时间修复
|
||||
5. **负责任地发布**:与我们协调
|
||||
|
||||
## 有问题?
|
||||
|
||||
如果你对这个流程有疑问:
|
||||
|
||||
1. 查看 [SECURITY.md](../SECURITY.md) 的完整政策
|
||||
2. 查看下方的 [FAQ](#faq)
|
||||
3. 使用 `[SECURITY]` 标签发起 discussion
|
||||
4. 对敏感问题使用私密漏洞报告
|
||||
|
||||
## FAQ
|
||||
|
||||
**Q: 我的报告会保密吗?**
|
||||
A: 会,直到修复发布。我们只会与参与修复的人共享细节。
|
||||
|
||||
**Q: 我需要等多久才能公开披露?**
|
||||
A: 我们会按照严重性遵循负责任披露时间线(24 小时到 7 天)。如有需要,你可以同意延长。
|
||||
|
||||
**Q: 我会获得署名吗?**
|
||||
A: 会,会出现在安全公告和发布说明中(除非你希望匿名)。
|
||||
|
||||
**Q: 如果漏洞很小怎么办?**
|
||||
A: 所有真实的安全问题都会被认真对待,即使很小也会被记录和致谢。
|
||||
|
||||
**Q: 我可以只报告文档里的漏洞吗?**
|
||||
A: 可以。文档安全同样重要。不安全示例也在范围内。
|
||||
|
||||
**Q: 如果我不确定这是不是安全问题呢?**
|
||||
A: 先报告即可!如果不是安全问题,我们会告诉你。误报没关系。
|
||||
|
||||
**Q: 报告后我可以公开讨论吗?**
|
||||
A: 不可以,请在我们公开公告前保持私密。过早披露可能让用户面临风险。
|
||||
|
||||
**Q: 我怎么知道你收到了我的报告?**
|
||||
A: GitHub 会发送自动通知,我们会在 24 小时内跟进。
|
||||
|
||||
**Q: 如果我一直没收到回复怎么办?**
|
||||
A: 检查 GitHub security advisories 页面。如果仍看不到回复,可以在私密报告里继续留言跟进。
|
||||
|
||||
## 资源
|
||||
|
||||
- [SECURITY.md](../SECURITY.md) - 完整安全政策
|
||||
- [CONTRIBUTING.md](../CONTRIBUTING.md) - 贡献指南
|
||||
- [CODE_OF_CONDUCT.md](../CODE_OF_CONDUCT.md) - 社区标准
|
||||
- [OWASP Vulnerability Disclosure](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html) - 负责任披露最佳实践
|
||||
- [Coordinated Vulnerability Disclosure](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerable_Dependency_Management_Cheat_Sheet.html)
|
||||
|
||||
---
|
||||
|
||||
感谢你帮助维护项目安全!🔒
|
||||
Reference in New Issue
Block a user