如果您在HarnessCode中发现了安全漏洞，请不要在公开的GitHub issue中报告。

请通过以下方式私下报告：

1. 发送邮件到yzddp@example.com
2. 主题：[安全漏洞报告] HarnessCode
3. 包含：
   • 漏洞描述
   • 重现步骤
   • 影响范围
   • 可能的解决方案（如果有）
   • 您的联系信息

1. 验证完整性：始终从官方源安装
2. 最小权限原则：以最小必要权限运行
3. 定期更新：保持HarnessCode和依赖项最新

1. 敏感信息：不要将API密钥、令牌等敏感信息提交到版本控制
2. 文件权限：确保配置文件具有适当的权限
3. 网络安全：如果使用远程AI后端，确保网络连接安全

1. 虚拟环境：始终在虚拟环境中安装和运行
2. 依赖项审计：定期审计依赖项的安全性
3. 代码审查：审查所有贡献的代码

安全更新将通过以下方式发布：

1. GitHub安全公告：启用仓库的"Security Advisories"功能
2. 版本发布：在新版本中包含安全修复
3. CHANGELOG.md：在更新日志中记录安全修复

如果不需要外部AI后端，可以配置为使用本地模式：

# .harnesscode/config.yaml
backend: local

建议监控以下文件的意外更改：

• .harnesscode/config.yaml
• .harnesscode/目录中的文件
• input/目录中的文件

定期备份重要文件：

• 配置文件
• 输入文档（PRD、技术规范）
• 项目源代码

1. API密钥：妥善保管AI后端的API密钥
2. 数据传输：确保与AI后端的数据传输是加密的
3. 数据处理：了解AI后端如何处理和存储您的数据

1. 沙箱环境：考虑在沙箱环境中执行AI生成的代码
2. 权限限制：限制AI生成代码的系统权限
3. 审查机制：建立代码审查机制

如果您发现安全漏洞，请使用以下模板：

### 漏洞描述
[描述漏洞的详细信息]

### 影响范围
[描述受影响的版本和组件]

### 重现步骤
1. [步骤1]
2. [步骤2]
3. [步骤3]

### 预期行为
[描述预期行为]

### 实际行为
[描述实际行为]

### 严重程度
[低/中/高/严重]

### 可能的解决方案
[如果有，描述可能的解决方案]

### 参考资料
[任何相关的参考资料或链接]

感谢所有负责任地报告安全漏洞的研究人员和用户。

有关安全问题，请联系：

• 维护者：yzddp
• 邮箱：yzddp@example.com
• PGP密钥：[如果有的话，提供PGP密钥链接]

最后更新：2026年3月28日 版本：1.0