StockTracker 是本地优先的个人投资工具,安全边界主要集中在本地数据、API Key、AI 请求上下文和外部数据源。
当前默认只支持主分支上的最新代码。项目进入正式发布版本后,可在此处补充具体版本支持策略。
请不要在公开 Issue 中披露安全漏洞、真实 API Key、数据库内容或个人交易记录。
推荐方式:
- 使用 GitHub Security Advisories 私下报告。
- 如果仓库暂未开启 Security Advisories,请先创建一个不包含细节的 Issue,说明“希望私下报告安全问题”,维护者会提供进一步联系方式。
请特别注意以下内容不要提交到仓库:
.env.local- 真实
AI_API_KEY - 真实
ALPHA_VANTAGE_API_KEY data/*.sqlite- SQLite 备份文件
- 包含真实交易记录的截图或导出文件
- AI Debug 里包含个人持仓上下文的日志
当启用 AI 功能时,系统会把必要的持仓、交易摘要、行情、新闻或技术指标上下文发送给你配置的模型服务商。请确认你信任该服务商,并理解其数据处理政策。
行情、新闻、汇率和模型服务来自外部接口,可能存在不可用、限流、延迟、返回格式变化或数据错误。项目提供 pnpm test:external 帮助维护者及时发现接口变化。