Skip to content

Security Policy

EnerOS Bot edited this page Jul 5, 2026 · 1 revision

中文 | English

安全策略

维护版本:v0.51.2 | 最后更新:2026-07-06

本页描述 EnerOS 的漏洞报告流程、支持版本与三层防御机制。完整合规文档请参阅主仓库 docs/compliance/

漏洞报告

报告渠道

请勿在公开 issue 中报告安全漏洞。

渠道 用途
GitHub Security Advisory 私下披露漏洞(推荐)
Email: security@eneros.dev 备用渠道

报告内容

请包含:

  1. 漏洞描述与影响范围
  2. 复现步骤(最小可复现示例)
  3. 受影响版本
  4. 评估的严重程度(CVSS v3.1)
  5. 建议的修复方案(如有)

响应时间

阶段 SLA
确认收到 24 小时内
初步评估 72 小时内
修复方案反馈 7 天内(严重漏洞 24 小时内)
修复版本发布 30 天内(严重漏洞 7 天内)
公开披露 修复版本发布后 90 天(或与报告者协商)

报告者奖励

  • 每位漏洞报告者将列入 SECURITY.md 致谢名单
  • 严重漏洞报告者可获得 EnerOS 项目纪念品

支持版本

版本 支持状态 安全修复
v0.51.x ✅ 当前 全部
v0.50.x ⚠️ 维护 仅严重漏洞
v0.49.x 及更早 ❌ 不支持

建议生产部署始终使用最新稳定版本。

三层防御

1. 静态分析(SAST)

工具 频率 触发
CodeQL 每次 PR 严重漏洞阻塞合并
Semgrep 每次 PR 自定义规则集
clippy 每次 PR -D warnings 强制

2. 依赖审计

工具 频率 触发
cargo audit 每次 PR + 每日 cron RUSTSEC 漏洞
cargo deny check 每次 PR GPL/AGPL 拒绝 + 重复依赖检查
Dependabot 每周 依赖更新 PR

新依赖必须满足:

  • MIT 兼容许可证
  • 通过 cargo auditcargo deny
  • 必要且最小化
  • 非 GPL/AGPL
  • 非未维护且未修复 RUSTSEC 漏洞

3. 运行时防御

能力 实现 详见
零信任 eneros-trust(CA / mTLS / 轮转) 零信任安全
入侵检测 eneros-ids(基线 / IOC / 锁定) 零信任安全
WORM 审计 eneros-audit(HMAC 链 + chattr +a) SafetyGateway
安全网关 SafetyGateway(7 阶段管线 + 类型层) SafetyGateway
多租户隔离 eneros-tenant(命名空间 + 配额) 多租户

安全合规

标准 范围 文档
NERC CIP 北美电力系统 docs/compliance/
IEC 62443-4-1 SDLC docs/compliance/iec-62443-4-1-sdlc.md
IEC 62443-4-2 SL 矩阵 docs/compliance/iec-62443-4-2-sl-matrix.md
GDPR 欧盟数据保护 v0.47.0
PIPL 中国个人信息保护 v0.47.0
CCPA 加州消费者隐私 v0.47.0

安全配置基线

生产部署推荐安全配置:

[zero_trust]
mtls_required = true
rotation_days_before_expiry = 30

[threat_detection]
enable_baseline = true
enable_ids = true
lockout_threshold = 5
lockout_duration_secs = 900

[audit]
max_size_mb = 512
retention_days = 365
# hmac_secret 必须使用强随机 32 字节

[security]
# jwt_secret 必须使用强随机 ≥ 32 字节

已知安全相关限制(v0.51.2)

  • IOC 威胁情报仅 JSON 文件加载,未集成威胁情报平台
  • 行为基线仅 API 层,未覆盖事件总线流量
  • WORM 仅 Linux chattr +a,未支持对象存储 WORM
  • 67 个 unwrap/expect 残留(可能导致 panic)—— v0.51.0 已移除 88 个,v0.52.0 计划全部移除

相关文档

  • 主仓库 SECURITY.md — 安全策略(如有)
  • 主仓库 docs/compliance/ — 合规文档目录
  • 本 wiki 零信任安全 — 四大安全子系统
  • 本 wiki SafetyGateway — 类型层不可绕过
  • 本 wiki 多租户 — 命名空间隔离
  • GitHub Security Advisories: https://github.com/Gawg-AI/EnerOS/security/advisories/new

Clone this wiki locally