024c15a836
Go 控制面(SQLite + REST API)嵌入 Mihomo 数据面,Vue 3 多语言 Web 管理台。 含订阅/节点/规则/出站/监控/日志、OpenAPI、API Key、Gitea Actions CI 与开源文档。 Co-authored-by: Cursor <cursoragent@cursor.com>
2.0 KiB
2.0 KiB
安全策略
支持的版本
| 版本 | 支持状态 |
|---|---|
最新 main / master 分支 |
✅ 接受安全报告 |
| 最新发布的容器镜像 tag | ✅ 接受安全报告 |
| 更早版本 | ❌ 不保证修复 |
报告漏洞
请勿在公开 Issue 中披露可被利用的安全漏洞。
请通过以下方式私下联系维护者:
- Gitea Issues 的「私有安全报告」功能(若实例已启用)
- 或仓库维护者提供的私密联系渠道
报告请尽量包含:
- 漏洞类型与影响范围
- 复现步骤或 PoC
- 受影响版本 / 提交
- 建议修复思路(如有)
我们会在确认后尽快回复,并在修复发布后公开致谢(除非你希望匿名)。
威胁模型说明
Prism 是自托管代理网关,默认设计面向受信任的内网或个人 VPS,而非多租户公网 SaaS。
部署时请注意:
| 风险 | 说明 | 建议 |
|---|---|---|
| 默认管理密码 | 首次安装默认 admin |
登录后立即修改 |
| 管理 API 暴露 | 8080 端口可控制全部配置 | 勿对公网裸奔;使用 VPN / IP 白名单 / 反向代理 + HTTPS |
| 代理端口暴露 | 7890/7891 可被滥用为开放代理 | 启用入站认证;限制来源 IP |
| Mihomo 内部 API | 9090 仅应监听 127.0.0.1 | 勿映射到公网 |
CORS * |
便于开发,生产需配合鉴权 | 管理台不要与不可信站点共享 Cookie 场景 |
| API Key / Token | 等同管理员权限 | 定期轮换,勿提交到版本库 |
| 订阅 URL | 可能含敏感节点信息 | 妥善保护数据库与备份 |
依赖安全
- Go 依赖见
go.mod/go.sum - 前端依赖见
web/package-lock.json - 嵌入内核 Mihomo 的安全更新需跟随上游版本升级
安全更新
安全修复将通过:
- 向
main/master提交补丁 - 推送新容器镜像(
latest与对应版本 tag) - 在 Release / Issue 中简要说明(不含 exploit 细节)