当前正在接受安全更新的版本:
| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ 支持 |
| < 1.0 | ❌ 不支持 |
我们非常重视安全问题。如果您发现了安全漏洞,请不要通过公开的 Issue 报告。
-
私密报告
请通过 GitHub Security Advisories 报告安全问题:
https://github.com/YOUR_USERNAME/phantom-stream/security/advisories/new -
包含以下信息
- 漏洞类型(例如:注入、权限提升、信息泄露等)
- 受影响的文件/模块
- 详细的复现步骤
- 潜在影响评估
- 建议的修复方案(如有)
-
响应时间
- 我们将在 48 小时内确认收到您的报告
- 在 7 个工作日内提供初步评估
- 在 30 天内发布安全补丁(取决于漏洞严重程度)
安全补丁发布后,我们会:
- 在 GitHub Releases 中发布安全公告
- 更新 CHANGELOG.md
- 在 README 中标注安全版本
-
加密密钥管理
- 使用强随机密钥(32 字节)
- 不要在代码中硬编码密钥
- 使用环境变量或密钥管理系统
-
文件权限
- 确保处理的 PDF 文件权限合理
- 避免在公共目录处理敏感文件
-
日志安全
- 不要记录完整的加密密钥
- 注意日志中的敏感信息
本工具的安全边界:
⚠️ 不能抵御深度重建:彻底重建 PDF 结构可能破坏锚点⚠️ Visual 水印可见:适用于震慑场景,不适合完全隐蔽⚠️ 依赖 PDF 规范:非标准 PDF 可能导致锚点失效
详细限制说明见 README.md。
我们承诺:
- 对报告者保密
- 及时修复确认的漏洞
- 在修复发布后,适当感谢报告者(如您同意)
本工具仅限于合法、授权的安全研究和文档保护场景。使用者必须:
-
遵守法律法规
- 遵守所在国家/地区的所有适用法律
- 遵守数据保护法(GDPR、CCPA、PIPL 等)
- 遵守隐私法、劳动法、合同法等
-
获得授权
- 获得组织管理层的书面授权
- 获得数据主体的明确同意(如处理个人信息)
- 履行透明度义务,告知文档接收者追踪机制
-
承担后果
- 对使用本工具的一切行为及后果承担全部法律责任
- 包括但不限于民事赔偿、行政处罚、刑事责任
本项目作者和贡献者不承担任何责任,包括:
- ✖️ 不对任何直接或间接损失负责
- ✖️ 不对任何滥用或非法使用行为负责
- ✖️ 不对任何第三方索赔负责
- ✖️ 不提供任何明示或暗示的质量保证
- ✖️ 不保证符合任何法律法规要求
请阅读以下文档了解完整的法律条款:
- 📜 法律免责声明与合规指南 - 完整的法律条款、数据保护要求、合规检查清单
- 📄 LICENSE - MIT 许可协议和英文免责声明
- 📖 README - 项目总览中的免责声明
使用本软件即表示您已阅读、理解并同意所有免责条款。