Files
renjue fe8ea784d0
CI / docker (push) Successful in 2m54s
feat: Prism HTTP/SOCKS5 代理网关及管理台
Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-23 15:58:28 +08:00

58 lines
2.0 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# 安全策略
## 支持的版本
| 版本 | 支持状态 |
|------|----------|
| 最新 `main` / `master` 分支 | ✅ 接受安全报告 |
| 最新发布的容器镜像 tag | ✅ 接受安全报告 |
| 更早版本 | ❌ 不保证修复 |
## 报告漏洞
**请勿在公开 Issue 中披露可被利用的安全漏洞。**
请通过以下方式私下联系维护者:
- Gitea Issues 的「私有安全报告」功能(若实例已启用)
- 或仓库维护者提供的私密联系渠道
报告请尽量包含:
1. 漏洞类型与影响范围
2. 复现步骤或 PoC
3. 受影响版本 / 提交
4. 建议修复思路(如有)
我们会在确认后尽快回复,并在修复发布后公开致谢(除非你希望匿名)。
## 威胁模型说明
Prism 是**自托管代理网关**,默认设计面向受信任的内网或个人 VPS,而非多租户公网 SaaS。
部署时请注意:
| 风险 | 说明 | 建议 |
|------|------|------|
| 默认管理密码 | 首次安装默认 `admin` | 登录后立即修改 |
| 管理 API 暴露 | 8080 端口可控制全部配置 | 勿对公网裸奔;使用 VPN / IP 白名单 / 反向代理 + HTTPS |
| 代理端口暴露 | 7890/7891 可被滥用为开放代理 | 启用入站认证;限制来源 IP |
| Mihomo 内部 API | 9090 仅应监听 127.0.0.1 | 勿映射到公网 |
| CORS `*` | 便于开发,生产需配合鉴权 | 管理台不要与不可信站点共享 Cookie 场景 |
| API Key / Token | 等同管理员权限 | 定期轮换,勿提交到版本库 |
| 订阅 URL | 可能含敏感节点信息 | 妥善保护数据库与备份 |
## 依赖安全
- Go 依赖见 `go.mod` / `go.sum`
- 前端依赖见 `web/package-lock.json`
- 嵌入内核 [Mihomo](https://github.com/MetaCubeX/mihomo) 的安全更新需跟随上游版本升级
## 安全更新
安全修复将通过:
1.`main` / `master` 提交补丁
2. 推送新容器镜像(`latest` 与对应版本 tag
3. 在 Release / Issue 中简要说明(不含 exploit 细节)