世界树计划是一个具备工作区访问、模型调用、长任务执行和多服务协作能力的系统。安全问题会直接影响使用者的代码、数据和运行环境。请不要通过公开 Issue 披露漏洞细节。
当前安全修复承诺按以下范围执行:
| 分支 / 版本 | 状态 |
|---|---|
main |
支持 |
| 最新公开发布版本 | 支持 |
| 更早的历史版本 | 尽力而为,不承诺 |
优先使用 GitHub 的私有漏洞报告或 Security Advisory 功能。如果仓库尚未启用该功能,请不要公开提交漏洞细节,改为直接联系维护者 @GSY707,并在标题中注明 “Security Report”。
报告时请尽量包含:
- 影响范围与前置条件
- 复现步骤或最小 PoC
- 预期风险等级和潜在影响
- 是否涉及密钥泄露、任意文件写入、提权、沙箱逃逸或远程代码执行
- 建议的缓解方式(如果已有)
以下是目标值,不构成法律或商业 SLA:
- 5 个工作日内确认收到报告
- 10 个工作日内完成初步分级
- 对高危问题优先给出缓解建议或修复计划
- 在维护者确认修复前,请不要公开发布可复现漏洞细节。
- 如果问题已被利用或存在大规模影响风险,维护者可以先发布缓解建议,再补完整修复。
- 修复完成后,项目可以通过 Release Note、Security Advisory 或提交记录公开说明影响和修复范围。
- API key 只允许通过环境变量注入。
- 不接受真实凭据、私有数据、客户数据进入仓库。
- 真实试跑与评测必须使用隔离工作区,避免回写真实仓库。
- 任何新增会扩大工作区写权限、外部命令执行权限或数据暴露面的改动,都应视为高风险变更并优先走 RFC。