本文檔說明 Francium Mod Loader 的安全政策、漏洞回報流程和安全最佳實踐。
Francium 團隊非常重視安全性。我們致力於確保 Francium Mod Loader 及其生態系統的安全性。
我們的安全目標:
- 保護使用者免受惡意模組的侵害
- 確保加載過程的安全性和完整性
- 及時修復安全漏洞
- 提供透明的安全資訊
我們會為以下版本提供安全更新:
| 版本 | 狀態 | 安全更新 |
|---|---|---|
| 2.4.x | ✅ 當前版本 | ✅ 完整支援 |
| 2.3.x | ✅ 關鍵漏洞修復 | |
| < 2.3 | ❌ 已過期 | ❌ 不再支援 |
建議所有使用者升級到最新版本,以獲得最佳的安全性和功能體驗。
如果你發現了安全漏洞,請不要公開發布到 GitHub Issues 或其他公開場合,而是透過以下方式私下回報:
-
GitHub Security Advisories(推薦)
- 前往 Security → Advisories
- 點擊「New draft security advisory」
- 填寫漏洞詳情
-
電子郵件
- 發送郵件至專案維護者(透過 GitHub 個人檔案聯繫)
- 標題請包含
[Security]前綴
為了幫助我們更快地評估和修復漏洞,請提供以下資訊:
- 📋 漏洞類型(例如:緩衝區溢位、SQL 注入、遠端程式碼執行等)
- 🔍 漏洞描述(詳細說明漏洞如何被利用)
- 📝 重現步驟(一步步說明如何觸發漏洞)
- 💻 受影響的版本
- 🎯 潛在影響(攻擊者可以做什麼)
- 🔧 修復建議(如果有的話)
- 📎 概念驗證程式碼(PoC,可選但很有幫助)
- 確認收到:我們會在 48 小時內確認收到你的回報
- 初步評估:我們會在 7 天內完成初步評估
- 修復計畫:確認漏洞後,我們會制定修復計畫
- 修復發布:修復完成後,我們會發布安全更新
- 公開說明:適當時機公開漏洞詳情和修復資訊
Francium 內建了多層安全機制:
每個模組都在獨立的 ClassLoader 中運行:
- 防止模組之間的意外干擾
- 限制惡意模組的影響範圍
- 提供基本的沙箱環境
伺服器端模組清單同步功能:
- ✅ SHA-256 文件校驗
- ✅ ECDSA 數位簽章驗證
- ✅ 自動偵測篡改的模組
- ✅ 防止用戶端使用未經授權的模組
內建的記憶體分析器:
- 🧠 即時記憶體洩漏偵測
- 📊 物件使用統計
⚠️ 異常記憶體增長警告
套件管理器的安全功能:
- 🔍 SHA-256 校驗和驗證
- 📦 套件完整性檢查
⚠️ 已知漏洞警告(未來版本)
與所有模組加載器一樣,安裝第三方模組存在一定的安全風險:
⚠️ 模組可以存取你的遊戲數據⚠️ 模組可以讀取你的電腦檔案(取決於 Java 安全設定)⚠️ 惡意模組可能包含後門或挖礦程式
-
只從可信賴的來源下載模組
- Modrinth
- CurseForge
- 官方網站
- 知名的模組作者
-
檢查模組的評價和下載量
- 優先選擇受歡迎的模組
- 查看其他使用者的評論
- 注意異常的權限要求
-
使用防毒軟體掃描
- 下載後掃描模組檔案
- 保持防毒軟體更新
-
定期更新模組
- 及時獲得安全修復
- 避免使用已知有漏洞的版本
-
備份你的存檔
- 定期備份遊戲存檔
- 在測試新模組前先備份
- ✅ 保持 Francium 更新到最新版本
- ✅ 只從官方來源下載 Francium
- ✅ 只安裝你信任的模組
- ✅ 定期檢查模組更新
- ✅ 備份重要的遊戲數據
- ✅ 使用最新的 Java 版本
- ✅ 啟用伺服器同步協定
- ✅ 使用數位簽章驗證模組
- ✅ 定期審核伺服器模組清單
- ✅ 限制使用者端可以安裝的模組
- ✅ 監控伺服器異常行為
- ✅ 遵循安全編碼最佳實踐
- ✅ 不要收集不必要的使用者數據
- ✅ 及時修復模組中的安全漏洞
- ✅ 在模組描述中說明資料收集政策
- ✅ 使用版本控制追蹤程式碼變更
A: 不會。Francium 是一個開源專案,不會收集任何個人資料。所有數據都在本地處理。
A: 如果你從可信賴的來源下載模組,風險很低。但與所有軟體一樣,建議使用防毒軟體掃描。
A: 沒有。Francium 是完全開源的,任何人都可以檢查原始碼。我們鼓勵社群進行安全審計。
A: 不同的模組功能需要不同的存取權限。例如,迷你地圖模組需要讀取世界數據。但如果一個模組要求的權限超出了它的功能範圍,就要小心了。
A:
- 檢查下載量和評價
- 查看模組的原始碼(如果有)
- 在社群中詢問其他使用者
- 使用防毒軟體掃描
- 注意異常的行為
如果你是安全研究人員,歡迎你對 Francium 進行安全審計。我們會:
- ✅ 及時回應你的漏洞回報
- ✅ 公開感謝你的發現(如果你願意)
- ✅ 在安全公告中提及你的貢獻
目前我們沒有正式的漏洞賞金計畫,但我們非常感謝所有幫助我們改進安全性的人。
所有已修復的安全漏洞都會在以下位置公告:
- GitHub Security Advisories
- CHANGELOG.md
- GitHub Releases 說明
如果你有任何安全相關的問題或疑慮,歡迎聯絡我們:
- 🔒 安全漏洞回報:請參考 回報安全漏洞
- 💬 一般安全問題:GitHub Discussions
- 📧 其他問題:透過 GitHub 聯絡專案維護者
感謝你幫助 Francium 變得更安全!🛡️
你的安全回報和建議對我們非常重要。