Rapid Inbox 会处理邮件内容、附件、API Key、管理员会话和本地数据库。请不要通过公开 Issue 报告安全漏洞。
当前主要维护 main 分支。早期版本没有长期支持承诺,建议部署方及时跟进最新修复。
| 版本 | 支持状态 |
|---|---|
main |
✅ 持续维护 |
0.1.x |
|
< 0.1.0 |
❌ 不再维护 |
请通过邮件联系维护者:
wendao@ofoco.cn
邮件中建议包含:
- 影响范围:受影响的组件、接口或部署场景
- 复现步骤:尽量清晰的最小复现流程
- 受影响版本:版本号或提交哈希
- 可能的利用方式:潜在攻击路径或危害等级
- 修复建议:如果你已有方向
| 阶段 | 目标时间 |
|---|---|
| 确认收到报告 | 3 个工作日内 |
| 初步评估与回复 | 7 个工作日内 |
| 修复或缓解方案 | 根据严重程度协商 |
| 公开披露 | 修复发布后协调时间窗口 |
修复可用后,会公开说明影响和处理方式,并在合理范围内致谢报告者。
- 修改默认管理员密码;如需兼容令牌访问,显式配置随机的
ADMIN_TOKEN和PUBLIC_API_KEY - 对外部署时将 HTTP 服务放在可信反向代理后,并启用 TLS
- 限制 SMTP 暴露范围,按需使用防火墙或云安全组
- 不要把
.env、storage/、数据库、真实邮件样本或密钥提交到 Git - 公开收件箱适合测试和临时收件,不建议承载长期敏感邮件