当前支持安全更新的版本:
| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ |
我们非常重视安全问题。如果你发现了安全漏洞,请不要通过公开的 Issue 报告。
请通过以下方式私下报告安全漏洞:
- 发送邮件到项目维护者(邮箱地址请在 GitHub 个人资料中查找)
- 或者使用 GitHub 的私密安全报告功能
请在报告中包含以下信息:
- 漏洞的详细描述
- 复现步骤
- 影响范围
- 可能的修复方案(如果有)
- 你的联系方式
- 我们会在 48 小时内确认收到你的报告
- 我们会在 7 天内评估漏洞的严重程度
- 我们会在 30 天内发布修复补丁(取决于漏洞的复杂程度)
- 在修复补丁发布之前,请不要公开披露漏洞
- 我们会在修复后公开致谢报告者(除非你要求匿名)
- 我们会在 CHANGELOG.md 中记录安全修复
- 使用 HTTPS - 生产环境必须启用 SSL/TLS
- 修改默认密码 - 安装后立即修改管理员密码
- 定期更新 - 保持 Vision 和 PHP/MySQL 版本更新
- 限制文件权限 - 确保配置文件不可被 Web 访问
- 启用防火墙 - 限制数据库端口的外部访问
- 定期备份 - 定期备份数据库和上传文件
- 禁用错误显示 - 生产环境设置
error_reporting(0) - 配置 IP 白名单 - 限制管理后台访问 IP
- 启用登录限制 - 防止暴力破解
- 使用强密码 - 管理员密码至少 12 位,包含大小写字母、数字和特殊字符
- 所有用户输入都经过验证和过滤
- 使用 PDO 预处理语句防止 SQL 注入
- 使用
htmlspecialchars()防止 XSS 攻击 - 密码使用 bcrypt 加密存储
- 敏感操作需要权限验证
当前没有已知的安全问题。
- 初始版本发布
- 实现基础安全措施
感谢你帮助我们保持 Vision 的安全!