安全
Flutter 团队认真对待 Flutter 及其应用程序的安全性。本文档介绍了如何报告您可能发现的安全漏洞,并列出了可最大限度地降低引入漏洞风险的最佳实践。
安全理念
#Flutter 的安全策略基于五个关键支柱:
- 识别:通过识别核心资产、主要威胁和漏洞来跟踪和优先处理关键安全风险。
- 检测:使用漏洞扫描、静态应用程序安全测试和模糊测试等技术和工具来检测和识别漏洞。
- 保护:通过缓解已知漏洞和保护关键资产免受源威胁来消除风险。
- 响应:定义报告、分类和响应漏洞或攻击的流程。
- 恢复:建立在发生事件时将影响降至最低的遏制和恢复能力。
报告安全漏洞
#在报告由静态分析工具发现的安全漏洞之前,请考虑查看我们的已知误报列表。
请将安全漏洞报告至https://g.co/vulnz,并在其中包含问题的描述、重现问题的步骤、受影响的版本以及已知的缓解措施。我们使用 g.co/vulnz 进行接收,并在 GitHub 上进行协调和披露(包括使用 GitHub 安全公告)。Google 安全团队将在您报告后的 5 个工作日内通过 g.co/vulnz 进行回复。
您也可以通过我们的公共 Discord 聊天频道联系团队;但请务必同时将漏洞报告提交至 g.co/vulnz,并避免公开披露可能使用户面临风险的漏洞信息。
当您报告的安全漏洞得到解决时,我们期望与您进行密切合作。如果您在上述提到的 5 个工作日内未收到 g.co/vulnz 报告的回复,请联系 security@flutter.dev。
有关我们如何处理安全漏洞的更多详细信息,请参阅我们的安全策略。
将现有问题标记为与安全相关
#如果您认为某个现有的 GitHub 问题与安全相关,我们要求您同时将该问题报告至 g.co/vulnz 并发送电子邮件至 security@flutter.dev。电子邮件应包含 GitHub 问题 ID 以及有关为何应根据此安全策略处理该问题的简短说明。
安全报告不会在 GitHub 问题数据库中明确跟踪。我们使用 GitHub 的安全公告功能来跟踪公开的安全报告。
支持的版本
#我们承诺为当前 `stable` 分支上的 Flutter 版本发布安全更新。
预期
#我们将安全报告视为 P0 优先级。这意味着我们将尽快修复它们。根据我们的发布计划,对于在最新稳定版本 SDK 中发现的任何重大安全报告,我们将发布一个新的 beta 版本或一个稳定的热修复补丁,以最快捷的方式解决。
对于 flutter 网站(如 docs.flutter.dev)报告的任何漏洞,无需发布新版本,将在网站本身上修复。
Bug Bounty 项目
#欢迎使用或贡献 Flutter 的非 Google 团队将 Flutter 纳入其 Bug Bounty 项目的范围。如需将您的项目列出,请联系 security@flutter.dev
。
Google 将 Flutter 纳入Google 开源软件漏洞奖励计划的范围。
接收安全更新
#接收安全更新的最佳方式是订阅 flutter-announce 邮件列表或关注 Discord 频道的更新。我们也会在技术发布博文中公布安全更新。
最佳实践
#及时更新到最新的 Flutter SDK 版本。 我们会定期更新 Flutter,这些更新可能包含之前版本中发现的安全缺陷。
保持您的应用程序依赖项为最新。 确保您升级您的软件包依赖项以保持依赖项的最新。避免固定依赖项的特定版本,如果您这样做,请定期检查您的依赖项是否有安全更新,并相应地更新固定版本。
保持您的 Flutter 副本为最新。 私人、自定义版本的 Flutter 往往会落后于当前版本,可能不包含重要的安全修复和增强功能。因此,请定期更新您的 Flutter 副本。如果您正在进行改进 Flutter 的更改,请务必更新您的 fork,并考虑与社区分享您的更改。