感谢你帮助 RackOps CMDB 保持安全。

本仓库包含前后端代码、接口配置示例以及与机房运维相关的业务流程，因此我们尤其重视以下风险：

• 凭据、密钥、Token、账号口令泄露
• 权限绕过、越权访问、认证缺陷
• 敏感接口或数据导出能力暴露
• 配置错误导致的调试信息、内网地址或业务数据泄露
• 依赖漏洞引发的远程执行、注入或供应链风险

当前默认仅维护 main 分支上的最新代码状态。

如果你发现的问题存在于旧提交或历史版本，也欢迎反馈，但优先修复范围仍以 main 为准。

请不要在公开 Issue 中直接披露漏洞细节。

建议使用以下方式之一：

1. 如果仓库已启用 GitHub 私密漏洞报告，请优先使用 GitHub 的安全报告入口。
2. 如果当前没有可用的私密入口，请先通过仓库维护者可控的私密渠道联系，再共享最小必要信息。

在公开渠道中，请只说明“发现潜在安全问题，已私下联系维护者”，不要直接贴出：

• 利用步骤
• 漏洞 PoC
• 可复现 payload
• 真实密钥、真实数据、真实账号
• 内网地址、设备标识、客户敏感信息

为了帮助快速定位，请尽量提供：

• 问题类型与影响范围
• 触发前提
• 复现步骤
• 预期行为与实际行为
• 影响版本或相关提交
• 日志、截图或请求示例

如果内容中涉及敏感信息，请先做脱敏处理。

我们会尽量按以下原则处理：

• 先确认问题是否可复现
• 再判断影响范围与优先级
• 修复后再决定是否公开披露细节

对于高风险问题，通常会优先处理，再补充文档与发布说明。

向仓库提交代码时，请避免：

• 提交真实 .env
• 提交测试用账号口令
• 提交包含生产或内网信息的导出文件
• 在日志、截图、Issue、PR 中暴露敏感字段

如果你怀疑某个敏感信息已经进入 Git 历史，请立即停止继续扩散，并优先通知维护者处理。