# 安全漏洞报告 本文说明如何向 Claude How To 项目报告安全漏洞。 ## 快速链接 - **私密报告**: - **安全政策**:[SECURITY.md](../SECURITY.md) - **报告模板**:见下文 ## 报告漏洞 ### 选项 1:GitHub 私密漏洞报告(推荐) 这是报告安全漏洞的首选方式。 **步骤:** 1. 访问: 2. 点击 “Report a vulnerability” 3. 填写详情(可使用下方模板) 4. 提交 **优点:** - 在修复发布前保持漏洞私密 - 自动通知维护者 - 内置协作功能 - 与 GitHub 安全工具集成 ### 选项 2:GitHub 安全警报(依赖漏洞) 如果你在依赖中发现漏洞: 1. 访问: 2. 查看警报 3. 提交包含修复的 pull request 4. 加上 `security` 标签 ### 选项 3:私密邮箱(GitHub 不可用时) 如果你无法使用 GitHub 的报告系统: **即将提供**:这里会补充安全联系邮箱 目前请优先使用上面的 GitHub 私密漏洞报告。 ## 漏洞报告模板 报告漏洞时可使用以下模板: ``` **标题**:[漏洞简述] **严重性**:[Critical/High/Medium/Low] Estimated CVSS Score: [0-10] **类型**:[代码/文档/依赖/配置] **受影响组件**: - File: [path/to/file.py] - Section: [文档章节名,如适用] - Version: [latest/具体版本] **描述**: [对漏洞的清晰说明] **潜在影响**: [攻击者可以利用该漏洞做什么?] [可能影响哪些人?] **复现步骤**: 1. [第一步] 2. [第二步] 3. [第三步] [预期结果与实际结果] **PoC**(如有): [用于演示漏洞的代码或步骤] **建议修复**: [你的建议方案,如有] **附加上下文**: [任何其他相关信息] **你的信息**: - Name: [你的名字或匿名] - Email: [你的邮箱] - Credit: [你希望如何署名,如有] ``` ## 提交后会发生什么 ### 时间线 1. **立刻(< 1 小时)** - 自动通知会发送给项目维护者 2. **24 小时内** - 对报告进行初步评估 - 确认已收到 - 初步严重性评估 3. **48 小时内** - 安全团队给出详细回复 - 如需更多信息会继续询问 - 如果确认漏洞存在,会给出修复时间线 4. **1-7 天内**(取决于严重性) - 完成修复并测试 - 准备安全公告 - 发布修复并公开公告 ### 沟通方式 我们会通过以下方式与你保持沟通: - GitHub 私密漏洞讨论 - 邮件(如果你提供了) - 讨论线程中的更新 你可以: - 提出澄清问题 - 补充更多信息 - 建议改进修复方案 - 请求调整时间线 ### 披露时间线 **严重问题(CVSS 9.0-10.0)** - 修复:立即发布(24 小时内) - 披露:当天发布公开公告 - 通知:提前 24 小时通知报告者 **高危问题(CVSS 7.0-8.9)** - 修复:48-72 小时内发布 - 披露:发布时公开公告 - 通知:提前 5 天通知报告者 **中危问题(CVSS 4.0-6.9)** - 修复:纳入下一次常规更新 - 披露:发布时公开公告 - 通知:协调时间线 **低危问题(CVSS 0.1-3.9)** - 修复:纳入下一次常规更新 - 披露:发布时公告 - 通知:与发布同日 ## 安全漏洞标准 ### 范围内 我们接受以下类型的报告: - **代码漏洞** - 注入攻击(命令、SQL 等) - 示例中的跨站脚本(XSS) - 认证/授权缺陷 - 路径穿越漏洞 - 密码学问题 - **文档安全** - 暴露的秘密或凭据 - 不安全代码模式 - 安全反模式 - 误导性的安全声明 - **依赖漏洞** - 依赖中的已知 CVE - 供应链攻击 - 恶意依赖 - **配置问题** - 不安全默认值 - 缺失安全头 - 示例中的凭据暴露 ### 范围外 以下内容不接受报告: - Claude Code 本身的漏洞(请联系 Anthropic) - 外部服务中的漏洞 - 没有证明的理论漏洞 - 已向上游项目报告的问题 - 社会工程学或钓鱼 - 用户教育 / 培训问题 ## 负责任披露指南 ### 应该做的 ✅ - **先私下报告**,再公开披露 - **尽量具体**,提供文件路径和行号 - **提供证明**,说明漏洞确实存在 - **给我们时间**修复(协调披露) - **补充更新**,如果你发现了更多细节 - **保持专业**,在所有沟通中都如此 - **尊重保密性**,直到我们公开发布 ### 不应该做的 ❌ - **不要在修复前公开披露** - **不要超出测试所需范围去利用漏洞** - **不要修改**其他用户的数据 - **不要索要**报酬或好处 - **不要把漏洞**分享给其他人 - **不要用于**任何有害用途 - **不要用**非安全相关 issue 刷屏 ## 协调披露 我们遵循负责任披露流程: 1. **私密报告**:你先私下告诉我们 2. **我们评估**:判断并评估严重性 3. **开发修复**:我们开发并测试修复 4. **提前通知**:在公开披露前提前通知你 5. **公开发布**:我们同时发布修复和公告 6. **你的署名**:如你愿意,会在公告中致谢 **具体时间会根据严重性变化**(见上文) ## 修复发布后 ### 公开公告 公开安全公告通常包含: - 漏洞描述 - 受影响版本 - 严重性(CVSS 分数) - 修复步骤 - 修复链接 - 对报告者的致谢(如获许可) ### 你的署名 如果你希望被致谢: - 公告中会写上你的名字/昵称 - 可附上你的个人资料或网站链接 - 在发布说明中致谢 - 如果未来建立名人堂,也可能加入 ### 不提供金钱补偿 请注意: - 这是一个志愿者维护的开源项目 - 我们无法提供金钱奖励 - 但会提供认可和署名 - 你的贡献会帮助整个社区 ## 安全研究 如果你在做安全研究: 1. **先取得许可**:先联系维护者 2. **明确范围**:约定你会测试什么 3. **报告发现**:使用本流程 4. **尊重时间线**:给我们时间修复 5. **负责任地发布**:与我们协调 ## 有问题? 如果你对这个流程有疑问: 1. 查看 [SECURITY.md](../SECURITY.md) 的完整政策 2. 查看下方的 [FAQ](#faq) 3. 使用 `[SECURITY]` 标签发起 discussion 4. 对敏感问题使用私密漏洞报告 ## FAQ **Q: 我的报告会保密吗?** A: 会,直到修复发布。我们只会与参与修复的人共享细节。 **Q: 我需要等多久才能公开披露?** A: 我们会按照严重性遵循负责任披露时间线(24 小时到 7 天)。如有需要,你可以同意延长。 **Q: 我会获得署名吗?** A: 会,会出现在安全公告和发布说明中(除非你希望匿名)。 **Q: 如果漏洞很小怎么办?** A: 所有真实的安全问题都会被认真对待,即使很小也会被记录和致谢。 **Q: 我可以只报告文档里的漏洞吗?** A: 可以。文档安全同样重要。不安全示例也在范围内。 **Q: 如果我不确定这是不是安全问题呢?** A: 先报告即可!如果不是安全问题,我们会告诉你。误报没关系。 **Q: 报告后我可以公开讨论吗?** A: 不可以,请在我们公开公告前保持私密。过早披露可能让用户面临风险。 **Q: 我怎么知道你收到了我的报告?** A: GitHub 会发送自动通知,我们会在 24 小时内跟进。 **Q: 如果我一直没收到回复怎么办?** A: 检查 GitHub security advisories 页面。如果仍看不到回复,可以在私密报告里继续留言跟进。 ## 资源 - [SECURITY.md](../SECURITY.md) - 完整安全政策 - [CONTRIBUTING.md](../CONTRIBUTING.md) - 贡献指南 - [CODE_OF_CONDUCT.md](../CODE_OF_CONDUCT.md) - 社区标准 - [OWASP Vulnerability Disclosure](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html) - 负责任披露最佳实践 - [Coordinated Vulnerability Disclosure](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerable_Dependency_Management_Cheat_Sheet.html) --- 感谢你帮助维护项目安全!🔒