Files
claude-howto/zh/.github/SECURITY_REPORTING.md
Luong NGUYEN 89e89d4aa3 feat(zh): add Chinese translations in zh/ directory
Add Chinese (Simplified) translations for all documentation, organized
under a dedicated zh/ directory that mirrors the English folder structure.

Co-authored-by: tanqingkuang <tanqingkuang@users.noreply.github.com>

Translations originally contributed by @tanqingkuang in #45.
Restructured from *-CN.md suffix pattern into zh/ directory to prevent
the EPUB builder (scripts/build_epub.py collect_folder_files) from
picking up Chinese files via glob("*.md") inside module folders.
2026-04-06 23:08:54 +02:00

310 lines
8.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# 安全漏洞报告
本文说明如何向 Claude How To 项目报告安全漏洞。
## 快速链接
- **私密报告**<https://github.com/luongnv89/claude-howto/security/advisories>
- **安全政策**[SECURITY.md](../SECURITY.md)
- **报告模板**:见下文
## 报告漏洞
### 选项 1GitHub 私密漏洞报告(推荐)
这是报告安全漏洞的首选方式。
**步骤:**
1. 访问:<https://github.com/luongnv89/claude-howto/security/advisories>
2. 点击 “Report a vulnerability”
3. 填写详情(可使用下方模板)
4. 提交
**优点:**
- 在修复发布前保持漏洞私密
- 自动通知维护者
- 内置协作功能
- 与 GitHub 安全工具集成
### 选项 2GitHub 安全警报(依赖漏洞)
如果你在依赖中发现漏洞:
1. 访问:<https://github.com/luongnv89/claude-howto/security/advisories>
2. 查看警报
3. 提交包含修复的 pull request
4. 加上 `security` 标签
### 选项 3私密邮箱GitHub 不可用时)
如果你无法使用 GitHub 的报告系统:
**即将提供**:这里会补充安全联系邮箱
目前请优先使用上面的 GitHub 私密漏洞报告。
## 漏洞报告模板
报告漏洞时可使用以下模板:
```
**标题**[漏洞简述]
**严重性**[Critical/High/Medium/Low]
Estimated CVSS Score: [0-10]
**类型**[代码/文档/依赖/配置]
**受影响组件**
- File: [path/to/file.py]
- Section: [文档章节名,如适用]
- Version: [latest/具体版本]
**描述**
[对漏洞的清晰说明]
**潜在影响**
[攻击者可以利用该漏洞做什么?]
[可能影响哪些人?]
**复现步骤**
1. [第一步]
2. [第二步]
3. [第三步]
[预期结果与实际结果]
**PoC**(如有):
[用于演示漏洞的代码或步骤]
**建议修复**
[你的建议方案,如有]
**附加上下文**
[任何其他相关信息]
**你的信息**
- Name: [你的名字或匿名]
- Email: [你的邮箱]
- Credit: [你希望如何署名,如有]
```
## 提交后会发生什么
### 时间线
1. **立刻(< 1 小时)**
- 自动通知会发送给项目维护者
2. **24 小时内**
- 对报告进行初步评估
- 确认已收到
- 初步严重性评估
3. **48 小时内**
- 安全团队给出详细回复
- 如需更多信息会继续询问
- 如果确认漏洞存在,会给出修复时间线
4. **1-7 天内**(取决于严重性)
- 完成修复并测试
- 准备安全公告
- 发布修复并公开公告
### 沟通方式
我们会通过以下方式与你保持沟通:
- GitHub 私密漏洞讨论
- 邮件(如果你提供了)
- 讨论线程中的更新
你可以:
- 提出澄清问题
- 补充更多信息
- 建议改进修复方案
- 请求调整时间线
### 披露时间线
**严重问题CVSS 9.0-10.0**
- 修复立即发布24 小时内)
- 披露:当天发布公开公告
- 通知:提前 24 小时通知报告者
**高危问题CVSS 7.0-8.9**
- 修复48-72 小时内发布
- 披露:发布时公开公告
- 通知:提前 5 天通知报告者
**中危问题CVSS 4.0-6.9**
- 修复:纳入下一次常规更新
- 披露:发布时公开公告
- 通知:协调时间线
**低危问题CVSS 0.1-3.9**
- 修复:纳入下一次常规更新
- 披露:发布时公告
- 通知:与发布同日
## 安全漏洞标准
### 范围内
我们接受以下类型的报告:
- **代码漏洞**
- 注入攻击命令、SQL 等)
- 示例中的跨站脚本XSS
- 认证/授权缺陷
- 路径穿越漏洞
- 密码学问题
- **文档安全**
- 暴露的秘密或凭据
- 不安全代码模式
- 安全反模式
- 误导性的安全声明
- **依赖漏洞**
- 依赖中的已知 CVE
- 供应链攻击
- 恶意依赖
- **配置问题**
- 不安全默认值
- 缺失安全头
- 示例中的凭据暴露
### 范围外
以下内容不接受报告:
- Claude Code 本身的漏洞(请联系 Anthropic
- 外部服务中的漏洞
- 没有证明的理论漏洞
- 已向上游项目报告的问题
- 社会工程学或钓鱼
- 用户教育 / 培训问题
## 负责任披露指南
### 应该做的 ✅
- **先私下报告**,再公开披露
- **尽量具体**,提供文件路径和行号
- **提供证明**,说明漏洞确实存在
- **给我们时间**修复(协调披露)
- **补充更新**,如果你发现了更多细节
- **保持专业**,在所有沟通中都如此
- **尊重保密性**,直到我们公开发布
### 不应该做的 ❌
- **不要在修复前公开披露**
- **不要超出测试所需范围去利用漏洞**
- **不要修改**其他用户的数据
- **不要索要**报酬或好处
- **不要把漏洞**分享给其他人
- **不要用于**任何有害用途
- **不要用**非安全相关 issue 刷屏
## 协调披露
我们遵循负责任披露流程:
1. **私密报告**:你先私下告诉我们
2. **我们评估**:判断并评估严重性
3. **开发修复**:我们开发并测试修复
4. **提前通知**:在公开披露前提前通知你
5. **公开发布**:我们同时发布修复和公告
6. **你的署名**:如你愿意,会在公告中致谢
**具体时间会根据严重性变化**(见上文)
## 修复发布后
### 公开公告
公开安全公告通常包含:
- 漏洞描述
- 受影响版本
- 严重性CVSS 分数)
- 修复步骤
- 修复链接
- 对报告者的致谢(如获许可)
### 你的署名
如果你希望被致谢:
- 公告中会写上你的名字/昵称
- 可附上你的个人资料或网站链接
- 在发布说明中致谢
- 如果未来建立名人堂,也可能加入
### 不提供金钱补偿
请注意:
- 这是一个志愿者维护的开源项目
- 我们无法提供金钱奖励
- 但会提供认可和署名
- 你的贡献会帮助整个社区
## 安全研究
如果你在做安全研究:
1. **先取得许可**:先联系维护者
2. **明确范围**:约定你会测试什么
3. **报告发现**:使用本流程
4. **尊重时间线**:给我们时间修复
5. **负责任地发布**:与我们协调
## 有问题?
如果你对这个流程有疑问:
1. 查看 [SECURITY.md](../SECURITY.md) 的完整政策
2. 查看下方的 [FAQ](#faq)
3. 使用 `[SECURITY]` 标签发起 discussion
4. 对敏感问题使用私密漏洞报告
## FAQ
**Q: 我的报告会保密吗?**
A: 会,直到修复发布。我们只会与参与修复的人共享细节。
**Q: 我需要等多久才能公开披露?**
A: 我们会按照严重性遵循负责任披露时间线24 小时到 7 天)。如有需要,你可以同意延长。
**Q: 我会获得署名吗?**
A: 会,会出现在安全公告和发布说明中(除非你希望匿名)。
**Q: 如果漏洞很小怎么办?**
A: 所有真实的安全问题都会被认真对待,即使很小也会被记录和致谢。
**Q: 我可以只报告文档里的漏洞吗?**
A: 可以。文档安全同样重要。不安全示例也在范围内。
**Q: 如果我不确定这是不是安全问题呢?**
A: 先报告即可!如果不是安全问题,我们会告诉你。误报没关系。
**Q: 报告后我可以公开讨论吗?**
A: 不可以,请在我们公开公告前保持私密。过早披露可能让用户面临风险。
**Q: 我怎么知道你收到了我的报告?**
A: GitHub 会发送自动通知,我们会在 24 小时内跟进。
**Q: 如果我一直没收到回复怎么办?**
A: 检查 GitHub security advisories 页面。如果仍看不到回复,可以在私密报告里继续留言跟进。
## 资源
- [SECURITY.md](../SECURITY.md) - 完整安全政策
- [CONTRIBUTING.md](../CONTRIBUTING.md) - 贡献指南
- [CODE_OF_CONDUCT.md](../CODE_OF_CONDUCT.md) - 社区标准
- [OWASP Vulnerability Disclosure](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html) - 负责任披露最佳实践
- [Coordinated Vulnerability Disclosure](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerable_Dependency_Management_Cheat_Sheet.html)
---
感谢你帮助维护项目安全!🔒