Files
Prism/SECURITY.md
T
rose_cat707 024c15a836
CI / test (push) Has been cancelled
CI / docker (push) Has been cancelled
feat: Prism HTTP/SOCKS5 代理网关及管理台
Go 控制面(SQLite + REST API)嵌入 Mihomo 数据面,Vue 3 多语言 Web 管理台。
含订阅/节点/规则/出站/监控/日志、OpenAPI、API Key、Gitea Actions CI 与开源文档。

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-23 12:18:58 +08:00

2.0 KiB
Raw Blame History

安全策略

支持的版本

版本 支持状态
最新 main / master 分支 接受安全报告
最新发布的容器镜像 tag 接受安全报告
更早版本 不保证修复

报告漏洞

请勿在公开 Issue 中披露可被利用的安全漏洞。

请通过以下方式私下联系维护者:

  • Gitea Issues 的「私有安全报告」功能(若实例已启用)
  • 或仓库维护者提供的私密联系渠道

报告请尽量包含:

  1. 漏洞类型与影响范围
  2. 复现步骤或 PoC
  3. 受影响版本 / 提交
  4. 建议修复思路(如有)

我们会在确认后尽快回复,并在修复发布后公开致谢(除非你希望匿名)。

威胁模型说明

Prism 是自托管代理网关,默认设计面向受信任的内网或个人 VPS,而非多租户公网 SaaS。

部署时请注意:

风险 说明 建议
默认管理密码 首次安装默认 admin 登录后立即修改
管理 API 暴露 8080 端口可控制全部配置 勿对公网裸奔;使用 VPN / IP 白名单 / 反向代理 + HTTPS
代理端口暴露 7890/7891 可被滥用为开放代理 启用入站认证;限制来源 IP
Mihomo 内部 API 9090 仅应监听 127.0.0.1 勿映射到公网
CORS * 便于开发,生产需配合鉴权 管理台不要与不可信站点共享 Cookie 场景
API Key / Token 等同管理员权限 定期轮换,勿提交到版本库
订阅 URL 可能含敏感节点信息 妥善保护数据库与备份

依赖安全

  • Go 依赖见 go.mod / go.sum
  • 前端依赖见 web/package-lock.json
  • 嵌入内核 Mihomo 的安全更新需跟随上游版本升级

安全更新

安全修复将通过:

  1. main / master 提交补丁
  2. 推送新容器镜像(latest 与对应版本 tag
  3. 在 Release / Issue 中简要说明(不含 exploit 细节)