| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ 支持 |
如果你发现了安全漏洞,请不要公开报告它。
请通过电子邮件发送漏洞报告:security@locode.dev
请包含以下信息:
- 漏洞的描述
- 受影响的版本
- 复现步骤
- 潜在的影响
- 如果可能,提供修复建议
我们会在 48 小时内确认收到,并在合理的时间内提供修复。
-
保护你的 API Key
- 永远不要分享你的 API Key
- 定期轮换你的 API Key
- 使用环境变量存储敏感信息
-
工作空间安全
- 只在受信任的工作空间中使用 Locode
- 不要在包含敏感信息的工作空间中使用
- 定期审查工作空间的权限
-
网络使用
- 只在受信任的网络环境中使用
- 避免在公共 Wi-Fi 上使用
- 使用 HTTPS 连接
-
保持更新
- 定期更新到最新版本
- 关注安全公告
- 应用安全补丁
-
依赖管理
- 定期更新依赖项
- 使用
npm audit检查漏洞 - 及时修复已知漏洞
-
代码审查
- 所有代码更改必须经过审查
- 特别关注文件操作和 API 调用
- 验证所有用户输入
-
安全测试
- 在部署前进行安全测试
- 测试常见的攻击向量
- 验证访问控制
-
敏感数据
- 永远不要记录敏感信息
- 加密存储的配置
- 最小化数据收集
- 状态: ✅ 已修复
- 描述: 所有文件路径都经过验证,确保在工作空间内
- 修复: 使用
path.resolve()和路径前缀检查
- 状态: ✅ 已修复
- 描述: API Key 只存储在服务器端,从不发送到前端
- 修复: 使用服务器端配置管理,前端只接收必要的信息
- 状态: ✅ 已修复
- 描述: 使用参数化查询防止 SQL 注入
- 修复: 使用
better-sqlite3的参数化查询
- ✅ 工作空间路径验证
- ✅ 文件访问限制
- ✅ API Key 服务器端存储
- ✅ 输入验证和清理
- ✅ CORS 配置
- ✅ 参数化数据库查询
- ✅ 错误信息不泄露敏感数据
- 安全邮箱: security@locode.dev
- GitHub Issues: https://github.com/lloyd-c137/locode/issues
- 主页: https://github.com/lloyd-c137/locode
感谢所有报告安全问题的研究人员和用户!