# 安全策略 ## 支持的版本 | 版本 | 支持状态 | |--------|----------| | 最新版 | ✅ | | 旧版本 | ❌ | ## 报告漏洞 如果你发现了安全漏洞,**请勿在公开 Issue 中披露**。 请通过以下方式私下报告: - 在 [Gitea Issues](https://git.rc707blog.top/rose_cat707/ToolBox/issues) 提交说明(标题注明 `[SECURITY]`,勿公开漏洞细节) - 或在 Gitea 仓库中使用 **Private Security Advisory**(若已启用) 报告时请尽量包含: - 漏洞类型与影响范围 - 复现步骤 - 受影响版本 - 可能的修复建议(如有) 我们会在合理时间内确认收到,并在修复后公开致谢(除非你希望匿名)。 ## 安全注意事项(自部署) - 本项目为纯前端静态应用,Docker 镜像使用 Nginx 提供静态文件 - **Google Analytics** 与 **今日诗词 SDK** 默认关闭,需通过环境变量显式启用(见 README) - `deploy.sh` 通过命令行参数传递 SSH 密码,请勿在脚本或日志中硬编码凭据