feat(zh): add Chinese translations in zh/ directory

Add Chinese (Simplified) translations for all documentation, organized
under a dedicated zh/ directory that mirrors the English folder structure.

Co-authored-by: tanqingkuang <tanqingkuang@users.noreply.github.com>

Translations originally contributed by @tanqingkuang in #45.
Restructured from *-CN.md suffix pattern into zh/ directory to prevent
the EPUB builder (scripts/build_epub.py collect_folder_files) from
picking up Chinese files via glob("*.md") inside module folders.
This commit is contained in:
Luong NGUYEN
2026-04-06 23:08:54 +02:00
committed by GitHub
parent 100c45eef2
commit 89e89d4aa3
100 changed files with 20487 additions and 1 deletions

309
zh/.github/SECURITY_REPORTING.md vendored Normal file
View File

@@ -0,0 +1,309 @@
# 安全漏洞报告
本文说明如何向 Claude How To 项目报告安全漏洞。
## 快速链接
- **私密报告**<https://github.com/luongnv89/claude-howto/security/advisories>
- **安全政策**[SECURITY.md](../SECURITY.md)
- **报告模板**:见下文
## 报告漏洞
### 选项 1GitHub 私密漏洞报告(推荐)
这是报告安全漏洞的首选方式。
**步骤:**
1. 访问:<https://github.com/luongnv89/claude-howto/security/advisories>
2. 点击 “Report a vulnerability”
3. 填写详情(可使用下方模板)
4. 提交
**优点:**
- 在修复发布前保持漏洞私密
- 自动通知维护者
- 内置协作功能
- 与 GitHub 安全工具集成
### 选项 2GitHub 安全警报(依赖漏洞)
如果你在依赖中发现漏洞:
1. 访问:<https://github.com/luongnv89/claude-howto/security/advisories>
2. 查看警报
3. 提交包含修复的 pull request
4. 加上 `security` 标签
### 选项 3私密邮箱GitHub 不可用时)
如果你无法使用 GitHub 的报告系统:
**即将提供**:这里会补充安全联系邮箱
目前请优先使用上面的 GitHub 私密漏洞报告。
## 漏洞报告模板
报告漏洞时可使用以下模板:
```
**标题**[漏洞简述]
**严重性**[Critical/High/Medium/Low]
Estimated CVSS Score: [0-10]
**类型**[代码/文档/依赖/配置]
**受影响组件**
- File: [path/to/file.py]
- Section: [文档章节名,如适用]
- Version: [latest/具体版本]
**描述**
[对漏洞的清晰说明]
**潜在影响**
[攻击者可以利用该漏洞做什么?]
[可能影响哪些人?]
**复现步骤**
1. [第一步]
2. [第二步]
3. [第三步]
[预期结果与实际结果]
**PoC**(如有):
[用于演示漏洞的代码或步骤]
**建议修复**
[你的建议方案,如有]
**附加上下文**
[任何其他相关信息]
**你的信息**
- Name: [你的名字或匿名]
- Email: [你的邮箱]
- Credit: [你希望如何署名,如有]
```
## 提交后会发生什么
### 时间线
1. **立刻(< 1 小时)**
- 自动通知会发送给项目维护者
2. **24 小时内**
- 对报告进行初步评估
- 确认已收到
- 初步严重性评估
3. **48 小时内**
- 安全团队给出详细回复
- 如需更多信息会继续询问
- 如果确认漏洞存在,会给出修复时间线
4. **1-7 天内**(取决于严重性)
- 完成修复并测试
- 准备安全公告
- 发布修复并公开公告
### 沟通方式
我们会通过以下方式与你保持沟通:
- GitHub 私密漏洞讨论
- 邮件(如果你提供了)
- 讨论线程中的更新
你可以:
- 提出澄清问题
- 补充更多信息
- 建议改进修复方案
- 请求调整时间线
### 披露时间线
**严重问题CVSS 9.0-10.0**
- 修复立即发布24 小时内)
- 披露:当天发布公开公告
- 通知:提前 24 小时通知报告者
**高危问题CVSS 7.0-8.9**
- 修复48-72 小时内发布
- 披露:发布时公开公告
- 通知:提前 5 天通知报告者
**中危问题CVSS 4.0-6.9**
- 修复:纳入下一次常规更新
- 披露:发布时公开公告
- 通知:协调时间线
**低危问题CVSS 0.1-3.9**
- 修复:纳入下一次常规更新
- 披露:发布时公告
- 通知:与发布同日
## 安全漏洞标准
### 范围内
我们接受以下类型的报告:
- **代码漏洞**
- 注入攻击命令、SQL 等)
- 示例中的跨站脚本XSS
- 认证/授权缺陷
- 路径穿越漏洞
- 密码学问题
- **文档安全**
- 暴露的秘密或凭据
- 不安全代码模式
- 安全反模式
- 误导性的安全声明
- **依赖漏洞**
- 依赖中的已知 CVE
- 供应链攻击
- 恶意依赖
- **配置问题**
- 不安全默认值
- 缺失安全头
- 示例中的凭据暴露
### 范围外
以下内容不接受报告:
- Claude Code 本身的漏洞(请联系 Anthropic
- 外部服务中的漏洞
- 没有证明的理论漏洞
- 已向上游项目报告的问题
- 社会工程学或钓鱼
- 用户教育 / 培训问题
## 负责任披露指南
### 应该做的 ✅
- **先私下报告**,再公开披露
- **尽量具体**,提供文件路径和行号
- **提供证明**,说明漏洞确实存在
- **给我们时间**修复(协调披露)
- **补充更新**,如果你发现了更多细节
- **保持专业**,在所有沟通中都如此
- **尊重保密性**,直到我们公开发布
### 不应该做的 ❌
- **不要在修复前公开披露**
- **不要超出测试所需范围去利用漏洞**
- **不要修改**其他用户的数据
- **不要索要**报酬或好处
- **不要把漏洞**分享给其他人
- **不要用于**任何有害用途
- **不要用**非安全相关 issue 刷屏
## 协调披露
我们遵循负责任披露流程:
1. **私密报告**:你先私下告诉我们
2. **我们评估**:判断并评估严重性
3. **开发修复**:我们开发并测试修复
4. **提前通知**:在公开披露前提前通知你
5. **公开发布**:我们同时发布修复和公告
6. **你的署名**:如你愿意,会在公告中致谢
**具体时间会根据严重性变化**(见上文)
## 修复发布后
### 公开公告
公开安全公告通常包含:
- 漏洞描述
- 受影响版本
- 严重性CVSS 分数)
- 修复步骤
- 修复链接
- 对报告者的致谢(如获许可)
### 你的署名
如果你希望被致谢:
- 公告中会写上你的名字/昵称
- 可附上你的个人资料或网站链接
- 在发布说明中致谢
- 如果未来建立名人堂,也可能加入
### 不提供金钱补偿
请注意:
- 这是一个志愿者维护的开源项目
- 我们无法提供金钱奖励
- 但会提供认可和署名
- 你的贡献会帮助整个社区
## 安全研究
如果你在做安全研究:
1. **先取得许可**:先联系维护者
2. **明确范围**:约定你会测试什么
3. **报告发现**:使用本流程
4. **尊重时间线**:给我们时间修复
5. **负责任地发布**:与我们协调
## 有问题?
如果你对这个流程有疑问:
1. 查看 [SECURITY.md](../SECURITY.md) 的完整政策
2. 查看下方的 [FAQ](#faq)
3. 使用 `[SECURITY]` 标签发起 discussion
4. 对敏感问题使用私密漏洞报告
## FAQ
**Q: 我的报告会保密吗?**
A: 会,直到修复发布。我们只会与参与修复的人共享细节。
**Q: 我需要等多久才能公开披露?**
A: 我们会按照严重性遵循负责任披露时间线24 小时到 7 天)。如有需要,你可以同意延长。
**Q: 我会获得署名吗?**
A: 会,会出现在安全公告和发布说明中(除非你希望匿名)。
**Q: 如果漏洞很小怎么办?**
A: 所有真实的安全问题都会被认真对待,即使很小也会被记录和致谢。
**Q: 我可以只报告文档里的漏洞吗?**
A: 可以。文档安全同样重要。不安全示例也在范围内。
**Q: 如果我不确定这是不是安全问题呢?**
A: 先报告即可!如果不是安全问题,我们会告诉你。误报没关系。
**Q: 报告后我可以公开讨论吗?**
A: 不可以,请在我们公开公告前保持私密。过早披露可能让用户面临风险。
**Q: 我怎么知道你收到了我的报告?**
A: GitHub 会发送自动通知,我们会在 24 小时内跟进。
**Q: 如果我一直没收到回复怎么办?**
A: 检查 GitHub security advisories 页面。如果仍看不到回复,可以在私密报告里继续留言跟进。
## 资源
- [SECURITY.md](../SECURITY.md) - 完整安全政策
- [CONTRIBUTING.md](../CONTRIBUTING.md) - 贡献指南
- [CODE_OF_CONDUCT.md](../CODE_OF_CONDUCT.md) - 社区标准
- [OWASP Vulnerability Disclosure](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html) - 负责任披露最佳实践
- [Coordinated Vulnerability Disclosure](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerable_Dependency_Management_Cheat_Sheet.html)
---
感谢你帮助维护项目安全!🔒