Skip to content

Security: stanley-1028/francium-loader

Security

SECURITY.md

安全政策 / Security Policy

本文檔說明 Francium Mod Loader 的安全政策、漏洞回報流程和安全最佳實踐。


🛡️ 安全承諾

Francium 團隊非常重視安全性。我們致力於確保 Francium Mod Loader 及其生態系統的安全性。

我們的安全目標:

  • 保護使用者免受惡意模組的侵害
  • 確保加載過程的安全性和完整性
  • 及時修復安全漏洞
  • 提供透明的安全資訊

📋 支援的版本

我們會為以下版本提供安全更新:

版本 狀態 安全更新
2.4.x ✅ 當前版本 ✅ 完整支援
2.3.x ⚠️ 舊版本 ✅ 關鍵漏洞修復
< 2.3 ❌ 已過期 ❌ 不再支援

建議所有使用者升級到最新版本,以獲得最佳的安全性和功能體驗。


🚨 回報安全漏洞

如果你發現了安全漏洞,請不要公開發布到 GitHub Issues 或其他公開場合,而是透過以下方式私下回報:

回報方式

  1. GitHub Security Advisories(推薦)

  2. 電子郵件

    • 發送郵件至專案維護者(透過 GitHub 個人檔案聯繫)
    • 標題請包含 [Security] 前綴

回報時請提供

為了幫助我們更快地評估和修復漏洞,請提供以下資訊:

  • 📋 漏洞類型(例如:緩衝區溢位、SQL 注入、遠端程式碼執行等)
  • 🔍 漏洞描述(詳細說明漏洞如何被利用)
  • 📝 重現步驟(一步步說明如何觸發漏洞)
  • 💻 受影響的版本
  • 🎯 潛在影響(攻擊者可以做什麼)
  • 🔧 修復建議(如果有的話)
  • 📎 概念驗證程式碼(PoC,可選但很有幫助)

回報後的流程

  1. 確認收到:我們會在 48 小時內確認收到你的回報
  2. 初步評估:我們會在 7 天內完成初步評估
  3. 修復計畫:確認漏洞後,我們會制定修復計畫
  4. 修復發布:修復完成後,我們會發布安全更新
  5. 公開說明:適當時機公開漏洞詳情和修復資訊

🔒 安全功能

Francium 內建了多層安全機制:

1. 模組隔離

每個模組都在獨立的 ClassLoader 中運行:

  • 防止模組之間的意外干擾
  • 限制惡意模組的影響範圍
  • 提供基本的沙箱環境

2. 伺服器同步協定

伺服器端模組清單同步功能:

  • ✅ SHA-256 文件校驗
  • ✅ ECDSA 數位簽章驗證
  • ✅ 自動偵測篡改的模組
  • ✅ 防止用戶端使用未經授權的模組

3. 記憶體保護

內建的記憶體分析器:

  • 🧠 即時記憶體洩漏偵測
  • 📊 物件使用統計
  • ⚠️ 異常記憶體增長警告

4. 依賴驗證

套件管理器的安全功能:

  • 🔍 SHA-256 校驗和驗證
  • 📦 套件完整性檢查
  • ⚠️ 已知漏洞警告(未來版本)

⚠️ 安全風險說明

模組安全風險

與所有模組加載器一樣,安裝第三方模組存在一定的安全風險:

  • ⚠️ 模組可以存取你的遊戲數據
  • ⚠️ 模組可以讀取你的電腦檔案(取決於 Java 安全設定)
  • ⚠️ 惡意模組可能包含後門或挖礦程式

風險降低建議

  1. 只從可信賴的來源下載模組

    • Modrinth
    • CurseForge
    • 官方網站
    • 知名的模組作者
  2. 檢查模組的評價和下載量

    • 優先選擇受歡迎的模組
    • 查看其他使用者的評論
    • 注意異常的權限要求
  3. 使用防毒軟體掃描

    • 下載後掃描模組檔案
    • 保持防毒軟體更新
  4. 定期更新模組

    • 及時獲得安全修復
    • 避免使用已知有漏洞的版本
  5. 備份你的存檔

    • 定期備份遊戲存檔
    • 在測試新模組前先備份

🛡️ 安全最佳實踐

一般使用者

  1. ✅ 保持 Francium 更新到最新版本
  2. ✅ 只從官方來源下載 Francium
  3. ✅ 只安裝你信任的模組
  4. ✅ 定期檢查模組更新
  5. ✅ 備份重要的遊戲數據
  6. ✅ 使用最新的 Java 版本

伺服器管理員

  1. ✅ 啟用伺服器同步協定
  2. ✅ 使用數位簽章驗證模組
  3. ✅ 定期審核伺服器模組清單
  4. ✅ 限制使用者端可以安裝的模組
  5. ✅ 監控伺服器異常行為

模組開發者

  1. ✅ 遵循安全編碼最佳實踐
  2. ✅ 不要收集不必要的使用者數據
  3. ✅ 及時修復模組中的安全漏洞
  4. ✅ 在模組描述中說明資料收集政策
  5. ✅ 使用版本控制追蹤程式碼變更

🔍 常見安全問題

Q: Francium 會收集我的資料嗎?

A: 不會。Francium 是一個開源專案,不會收集任何個人資料。所有數據都在本地處理。

Q: 安裝模組會讓我的電腦中毒嗎?

A: 如果你從可信賴的來源下載模組,風險很低。但與所有軟體一樣,建議使用防毒軟體掃描。

Q: Francium 有後門嗎?

A: 沒有。Francium 是完全開源的,任何人都可以檢查原始碼。我們鼓勵社群進行安全審計。

Q: 為什麼有些模組需要這麼多權限?

A: 不同的模組功能需要不同的存取權限。例如,迷你地圖模組需要讀取世界數據。但如果一個模組要求的權限超出了它的功能範圍,就要小心了。

Q: 我如何知道某個模組是否安全?

A:

  • 檢查下載量和評價
  • 查看模組的原始碼(如果有)
  • 在社群中詢問其他使用者
  • 使用防毒軟體掃描
  • 注意異常的行為

🤝 參與安全

安全研究人員

如果你是安全研究人員,歡迎你對 Francium 進行安全審計。我們會:

  • ✅ 及時回應你的漏洞回報
  • ✅ 公開感謝你的發現(如果你願意)
  • ✅ 在安全公告中提及你的貢獻

漏洞賞金計畫

目前我們沒有正式的漏洞賞金計畫,但我們非常感謝所有幫助我們改進安全性的人。


📜 安全公告

所有已修復的安全漏洞都會在以下位置公告:


📞 聯絡我們

如果你有任何安全相關的問題或疑慮,歡迎聯絡我們:

  • 🔒 安全漏洞回報:請參考 回報安全漏洞
  • 💬 一般安全問題:GitHub Discussions
  • 📧 其他問題:透過 GitHub 聯絡專案維護者

感謝你幫助 Francium 變得更安全!🛡️

你的安全回報和建議對我們非常重要。

There aren't any published security advisories