Files
claude-howto/zh/.github/SECURITY_REPORTING.md
Luong NGUYEN 89e89d4aa3 feat(zh): add Chinese translations in zh/ directory
Add Chinese (Simplified) translations for all documentation, organized
under a dedicated zh/ directory that mirrors the English folder structure.

Co-authored-by: tanqingkuang <tanqingkuang@users.noreply.github.com>

Translations originally contributed by @tanqingkuang in #45.
Restructured from *-CN.md suffix pattern into zh/ directory to prevent
the EPUB builder (scripts/build_epub.py collect_folder_files) from
picking up Chinese files via glob("*.md") inside module folders.
2026-04-06 23:08:54 +02:00

8.0 KiB
Raw Permalink Blame History

安全漏洞报告

本文说明如何向 Claude How To 项目报告安全漏洞。

快速链接

报告漏洞

选项 1GitHub 私密漏洞报告(推荐)

这是报告安全漏洞的首选方式。

步骤:

  1. 访问:https://github.com/luongnv89/claude-howto/security/advisories
  2. 点击 “Report a vulnerability”
  3. 填写详情(可使用下方模板)
  4. 提交

优点:

  • 在修复发布前保持漏洞私密
  • 自动通知维护者
  • 内置协作功能
  • 与 GitHub 安全工具集成

选项 2GitHub 安全警报(依赖漏洞)

如果你在依赖中发现漏洞:

  1. 访问:https://github.com/luongnv89/claude-howto/security/advisories
  2. 查看警报
  3. 提交包含修复的 pull request
  4. 加上 security 标签

选项 3私密邮箱GitHub 不可用时)

如果你无法使用 GitHub 的报告系统:

即将提供:这里会补充安全联系邮箱

目前请优先使用上面的 GitHub 私密漏洞报告。

漏洞报告模板

报告漏洞时可使用以下模板:

**标题**[漏洞简述]

**严重性**[Critical/High/Medium/Low]
Estimated CVSS Score: [0-10]

**类型**[代码/文档/依赖/配置]

**受影响组件**
- File: [path/to/file.py]
- Section: [文档章节名,如适用]
- Version: [latest/具体版本]

**描述**
[对漏洞的清晰说明]

**潜在影响**
[攻击者可以利用该漏洞做什么?]
[可能影响哪些人?]

**复现步骤**
1. [第一步]
2. [第二步]
3. [第三步]
[预期结果与实际结果]

**PoC**(如有):
[用于演示漏洞的代码或步骤]

**建议修复**
[你的建议方案,如有]

**附加上下文**
[任何其他相关信息]

**你的信息**
- Name: [你的名字或匿名]
- Email: [你的邮箱]
- Credit: [你希望如何署名,如有]

提交后会发生什么

时间线

  1. 立刻(< 1 小时)

    • 自动通知会发送给项目维护者
  2. 24 小时内

    • 对报告进行初步评估
    • 确认已收到
    • 初步严重性评估
  3. 48 小时内

    • 安全团队给出详细回复
    • 如需更多信息会继续询问
    • 如果确认漏洞存在,会给出修复时间线
  4. 1-7 天内(取决于严重性)

    • 完成修复并测试
    • 准备安全公告
    • 发布修复并公开公告

沟通方式

我们会通过以下方式与你保持沟通:

  • GitHub 私密漏洞讨论
  • 邮件(如果你提供了)
  • 讨论线程中的更新

你可以:

  • 提出澄清问题
  • 补充更多信息
  • 建议改进修复方案
  • 请求调整时间线

披露时间线

严重问题CVSS 9.0-10.0

  • 修复立即发布24 小时内)
  • 披露:当天发布公开公告
  • 通知:提前 24 小时通知报告者

高危问题CVSS 7.0-8.9

  • 修复48-72 小时内发布
  • 披露:发布时公开公告
  • 通知:提前 5 天通知报告者

中危问题CVSS 4.0-6.9

  • 修复:纳入下一次常规更新
  • 披露:发布时公开公告
  • 通知:协调时间线

低危问题CVSS 0.1-3.9

  • 修复:纳入下一次常规更新
  • 披露:发布时公告
  • 通知:与发布同日

安全漏洞标准

范围内

我们接受以下类型的报告:

  • 代码漏洞

    • 注入攻击命令、SQL 等)
    • 示例中的跨站脚本XSS
    • 认证/授权缺陷
    • 路径穿越漏洞
    • 密码学问题
  • 文档安全

    • 暴露的秘密或凭据
    • 不安全代码模式
    • 安全反模式
    • 误导性的安全声明
  • 依赖漏洞

    • 依赖中的已知 CVE
    • 供应链攻击
    • 恶意依赖
  • 配置问题

    • 不安全默认值
    • 缺失安全头
    • 示例中的凭据暴露

范围外

以下内容不接受报告:

  • Claude Code 本身的漏洞(请联系 Anthropic
  • 外部服务中的漏洞
  • 没有证明的理论漏洞
  • 已向上游项目报告的问题
  • 社会工程学或钓鱼
  • 用户教育 / 培训问题

负责任披露指南

应该做的

  • 先私下报告,再公开披露
  • 尽量具体,提供文件路径和行号
  • 提供证明,说明漏洞确实存在
  • 给我们时间修复(协调披露)
  • 补充更新,如果你发现了更多细节
  • 保持专业,在所有沟通中都如此
  • 尊重保密性,直到我们公开发布

不应该做的

  • 不要在修复前公开披露
  • 不要超出测试所需范围去利用漏洞
  • 不要修改其他用户的数据
  • 不要索要报酬或好处
  • 不要把漏洞分享给其他人
  • 不要用于任何有害用途
  • 不要用非安全相关 issue 刷屏

协调披露

我们遵循负责任披露流程:

  1. 私密报告:你先私下告诉我们
  2. 我们评估:判断并评估严重性
  3. 开发修复:我们开发并测试修复
  4. 提前通知:在公开披露前提前通知你
  5. 公开发布:我们同时发布修复和公告
  6. 你的署名:如你愿意,会在公告中致谢

具体时间会根据严重性变化(见上文)

修复发布后

公开公告

公开安全公告通常包含:

  • 漏洞描述
  • 受影响版本
  • 严重性CVSS 分数)
  • 修复步骤
  • 修复链接
  • 对报告者的致谢(如获许可)

你的署名

如果你希望被致谢:

  • 公告中会写上你的名字/昵称
  • 可附上你的个人资料或网站链接
  • 在发布说明中致谢
  • 如果未来建立名人堂,也可能加入

不提供金钱补偿

请注意:

  • 这是一个志愿者维护的开源项目
  • 我们无法提供金钱奖励
  • 但会提供认可和署名
  • 你的贡献会帮助整个社区

安全研究

如果你在做安全研究:

  1. 先取得许可:先联系维护者
  2. 明确范围:约定你会测试什么
  3. 报告发现:使用本流程
  4. 尊重时间线:给我们时间修复
  5. 负责任地发布:与我们协调

有问题?

如果你对这个流程有疑问:

  1. 查看 SECURITY.md 的完整政策
  2. 查看下方的 FAQ
  3. 使用 [SECURITY] 标签发起 discussion
  4. 对敏感问题使用私密漏洞报告

FAQ

Q: 我的报告会保密吗? A: 会,直到修复发布。我们只会与参与修复的人共享细节。

Q: 我需要等多久才能公开披露? A: 我们会按照严重性遵循负责任披露时间线24 小时到 7 天)。如有需要,你可以同意延长。

Q: 我会获得署名吗? A: 会,会出现在安全公告和发布说明中(除非你希望匿名)。

Q: 如果漏洞很小怎么办? A: 所有真实的安全问题都会被认真对待,即使很小也会被记录和致谢。

Q: 我可以只报告文档里的漏洞吗? A: 可以。文档安全同样重要。不安全示例也在范围内。

Q: 如果我不确定这是不是安全问题呢? A: 先报告即可!如果不是安全问题,我们会告诉你。误报没关系。

Q: 报告后我可以公开讨论吗? A: 不可以,请在我们公开公告前保持私密。过早披露可能让用户面临风险。

Q: 我怎么知道你收到了我的报告? A: GitHub 会发送自动通知,我们会在 24 小时内跟进。

Q: 如果我一直没收到回复怎么办? A: 检查 GitHub security advisories 页面。如果仍看不到回复,可以在私密报告里继续留言跟进。

资源


感谢你帮助维护项目安全!🔒