# 安全政策
感谢您对 OpenLark 项目安全的关注。本文档概述了如何报告安全漏洞以及我们的响应流程。
## 支持的版本
我们仅为以下版本提供安全更新:
| 0.15.x | ✅ 积极维护中 |
| 0.14.x | ✅ 接受安全修复 |
| < 0.14 | ❌ 不再支持 |
如果您的项目运行在不支持的版本上,请升级到最新版本以获得安全更新。
## 报告安全漏洞
### 优先方式:GitHub 安全公告
我们推荐通过 **GitHub Security Advisories** 报告漏洞:
1. 访问仓库页面:https://github.com/foxzool/openlark
2. 点击 **"Security"** 标签页
3. 选择 **"Advisories"**
4. 点击 **"Report a vulnerability"**
这种方式可以:
- 私密报告漏洞(非公开 issue)
- 与维护者安全协作修复
- 自动生成 CVE(如有需要)
### 备选方式:邮件报告
如果您无法使用 GitHub Security Advisories,可以发送邮件至:
📧 **zo0ol.x@gmail.com**
请在邮件中包含:
- 漏洞描述和影响范围
- 复现步骤或 PoC
- 受影响版本
- 建议的修复方案(如有)
## 响应时间承诺
| 初步确认 | 48 小时内 | 收到报告后确认已收到 |
| 漏洞评估 | 5 个工作日内 | 评估严重性和影响范围 |
| 修复方案 | 取决于复杂性 | 简单问题:1-2 周<br>复杂问题:2-4 周 |
| 公开披露 | 修复后 | 协调公开时间,给予用户升级时间 |
## 安全更新策略
### 发布流程
1. **安全补丁版本号**:使用语义化版本的补丁号(如 0.15.1 → 0.15.2)
2. **预通知**:严重漏洞(CVSS 7.0+)修复前 24-48 小时通知下游用户
3. **发布说明**:安全修复会在 changelog 中明确标注
### 安全补丁标识
安全相关的发布会在 GitHub Release 和 changelog 中标注:
- 🔒 **Security Fix**:修复安全漏洞
- ⚠️ **Security Advisory**:披露安全漏洞
## 安全最佳实践
### 使用 OpenLark 时
- **及时更新**:保持使用最新版本
- **监控安全公告**:关注 GitHub Security 标签页
- **最小权限原则**:API token 只授予必要权限
- **安全存储**:不要在代码中硬编码 API 凭证
### 依赖审计
我们建议用户定期审计依赖安全性:
```bash
# 使用 cargo audit 检查依赖漏洞
cargo audit
# 检查 Rust 标准库安全建议
rustup update
```
## 漏洞处理历史
| - | - | 暂无已知漏洞 | - |
## 致谢
感谢所有负责任地披露漏洞的安全研究人员和社区成员。
---
*本安全政策最后更新于 2026 年 4 月*