Skip to content

Security: ecoreal/software-coursework-lab

Security

SECURITY.md

Security Policy

敏感信息

本仓库不应包含任何真实密钥或生产凭据。以下内容必须通过环境变量、部署平台密钥管理或本地私有配置注入:

  • 数据库用户名和密码。
  • JWT secret。
  • 第三方 AI 服务 appid、api key、api password、secret。
  • ngrok token。
  • 私有服务器地址和内部访问凭据。

BenGe 后端的 application.yaml 已使用环境变量占位符。提交改动时请确认没有把真实值写回仓库。

漏洞报告

如果你发现安全问题,请不要在公开 Issue 中披露可利用细节。建议通过仓库维护者可用的私有渠道联系,说明:

  • 受影响的目录或模块。
  • 复现步骤。
  • 可能影响范围。
  • 建议修复方式。

如果暂时没有私有联系渠道,请先提交一个不包含细节的 Issue,说明需要维护者联系你处理安全问题。

本地开发建议

  • 使用独立的本地数据库和测试账号。
  • 不复用生产环境 token 或密钥。
  • 不在日志中输出完整 token、密码或 AI 服务密钥。
  • 联调 WebSocket 时优先使用本地网络或受控测试环境。
  • 对外部署时启用 HTTPS/WSS,并限制 CORS 来源。

密钥泄露处理

如果发现真实密钥已进入 Git 历史:

  1. 立即在对应服务平台吊销或轮换密钥。
  2. 清理仓库中的明文内容。
  3. 必要时使用 Git 历史清理工具重写历史。
  4. 通知所有协作者重新拉取清理后的仓库。

仅从当前文件中删除密钥不能让历史提交中的密钥失效,密钥轮换是必须步骤。

There aren't any published security advisories