我们目前支持以下版本的安全更新:
| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ 支持 |
如果您发现了安全漏洞,请不要公开创建 Issue。请通过以下方式报告:
- GitHub Security Advisory: 在仓库的 Security 标签页中创建安全建议
- 邮件: 发送到项目维护者的邮箱(如果有)
- 私密 Issue: 创建私密 Issue 或通过其他私密渠道联系维护者
请包含以下信息:
- 漏洞的详细描述
- 复现步骤
- 潜在影响
- 建议的修复方案(如果有)
我们会在收到安全报告后的 48 小时内确认,并在确认后的合理时间内提供修复方案。
- 永远不要将
config.js提交到版本控制系统 - 使用强密码作为管理后台密码
- 定期更新密钥和密码
- 在生产环境中使用 HTTPS
- 不要将服务暴露在公网,除非必要
- 使用防火墙限制访问
- 定期更新依赖包
- 监控异常访问和日志
- 妥善保管 Jeepay 的商户私钥
- 不要在不安全的环境中存储密钥
- 定期轮换密钥
目前没有已知的安全问题。如果发现新的安全问题,我们会及时更新此文档。
安全更新会通过以下方式发布:
- GitHub Releases
- 安全建议(Security Advisory)
- README.md 中的更新说明
请及时关注项目更新,确保使用最新版本。