安全
Flutter 团队非常重视 Flutter 及其创建的应用程序的安全性。此页面介绍如何报告您可能发现的任何漏洞,并列出最佳实践以最大程度地降低引入漏洞的风险。
安全理念
Flutter 安全策略基于五个关键支柱
- 识别:通过识别核心资产、关键威胁和漏洞来跟踪和优先处理关键安全风险。
- 检测:使用漏洞扫描、静态应用程序安全测试和模糊测试等技术和工具检测和识别漏洞。
- 保护:通过减轻已知漏洞并保护关键资产免受源威胁来消除风险。
- 响应:定义报告、分类和响应漏洞或攻击的流程。
- 恢复:建立能力以在影响最小的情况下遏制和从事件中恢复。
报告漏洞
在报告静态分析工具发现的安全漏洞之前,请考虑查看我们的 已知误报 列表。
要报告漏洞,请发送电子邮件至 [email protected],其中包含问题的描述、您为创建问题而采取的步骤、受影响的版本以及(如果已知)问题的缓解措施。
我们应在三个工作日内回复。
我们使用 GitHub 的安全建议功能来跟踪公开的安全问题。当我们努力解决您报告的问题时,您应该期待密切合作。
如果您没有收到及时的关注和定期更新,请再次联系 [email protected]。您还可以使用我们的公开 Discord 聊天频道 联系团队;但是,在报告问题时,请发送电子邮件至 [email protected]。为了避免在公开场合透露可能使用户面临风险的漏洞信息,请勿在 Discord 上发帖或提交 GitHub 问题。
有关我们如何处理安全漏洞的更多详细信息,请参阅我们的 安全政策。
将现有问题标记为与安全相关
如果您认为某个现有问题与安全相关,我们请您发送电子邮件至 [email protected]。该电子邮件应包括问题 ID 和简要说明,说明为何应根据此安全策略处理该问题。
受支持的版本
我们承诺为当前位于 stable 分支上的 Flutter 版本发布安全更新。
期望
我们将安全问题视为 P0 优先级级别,并针对我们 SDK 的最新稳定版本中发现的任何重大安全问题发布测试版或热修复。
针对 docs.flutter.dev 等 Flutter 网站报告的任何漏洞都不需要发布,而将在网站本身中修复。
漏洞赏金计划
贡献团队可以在其漏洞赏金计划的范围内纳入 Flutter。要列出您的计划,请联系 [email protected]。
Google 认为 Flutter 属于 Google 开源软件漏洞奖励计划 的范围。为了提高效率,举报者应在使用 Google 的漏洞报告流程之前联系 [email protected]。
接收安全更新
接收安全更新的最佳方式是订阅 flutter-announce 邮件列表或关注 Discord 频道 的更新。我们还会在技术发布博文中宣布安全更新。
最佳实践
-
与最新的 Flutter SDK 版本保持同步。我们定期更新 Flutter,这些更新可能会修复在以前版本中发现的安全缺陷。查看 Flutter 更改日志,了解与安全相关的更新。
-
保持应用程序的依赖项是最新的。确保您 升级软件包依赖项 以保持依赖项是最新的。避免将依赖项固定到特定版本,如果您这样做,请务必定期检查您的依赖项是否进行了安全更新,并相应地更新固定。
-
保持您的 Flutter 副本是最新的。私有的、定制的 Flutter 版本往往落后于当前版本,可能不包括重要的安全修复和增强。相反,定期更新您的 Flutter 副本。如果您正在进行改进 Flutter 的更改,请务必更新您的分支并考虑与社区分享您的更改。