安全

Flutter 团队高度重视 Flutter 及其所创建应用程序的安全性。本页面介绍了如何报告您可能发现的任何漏洞，并列出了最大限度降低引入漏洞风险的最佳实践。

Flutter 的安全策略基于五大支柱

• 识别：通过识别核心资产、主要威胁和漏洞，跟踪并优先处理关键安全风险。
• 检测：使用漏洞扫描、静态应用安全测试和模糊测试等技术和工具检测和识别漏洞。
• 保护：通过缓解已知漏洞来消除风险，并保护关键资产免受源威胁。
• 响应：定义报告、分类和响应漏洞或攻击的流程。
• 恢复：建立能力以控制事件并从中恢复，同时将影响降至最低。

在报告由静态分析工具发现的安全漏洞之前，请考虑查阅我们的已知误报列表。

要报告漏洞，请发送电子邮件至 security@flutter.dev，邮件中应包含问题描述、重现问题的步骤、受影响的版本，以及如果已知的话，针对该问题的缓解措施。

我们将在三个工作日内回复。

我们使用 GitHub 的安全咨询功能来跟踪未解决的安全问题。在解决您报告的问题时，您应该期望与我们密切合作。

如果您没有得到及时关注和定期更新，请再次联系 security@flutter.dev。您也可以通过我们的公共 Discord 聊天频道联系团队；但是，在报告问题时，请发送电子邮件至 security@flutter.dev。为避免公开披露可能使用户面临风险的漏洞信息，请勿在 Discord 上发帖或提交 GitHub 问题。

有关我们如何处理安全漏洞的更多详细信息，请参阅我们的安全政策。

如果您认为现有问题与安全相关，我们请求您发送电子邮件至 security@flutter.dev。邮件中应包含问题 ID 和一个简短描述，说明为何应根据此安全政策处理该问题。

我们承诺为目前处于 stable 分支的 Flutter 版本发布安全更新。

我们将安全问题视为 P0 优先级，并为我们 SDK 最新稳定版本中发现的任何重大安全问题发布 beta 版或热修复补丁。

针对 docs.flutter.dev 等 Flutter 网站报告的任何漏洞不需要发布新版本，将在网站本身中修复。

贡献团队可以将 Flutter 纳入其漏洞赏金计划的范围。要列出您的计划，请联系 security@flutter.dev。

Google 认为 Flutter 属于 Google 开源软件漏洞奖励计划的范围。为方便起见，报告者在使用 Google 的漏洞报告流程之前，应联系 security@flutter.dev。

接收安全更新的最佳方式是订阅 flutter-announce 邮件列表或关注 Discord 频道的更新。我们也会在技术发布博客文章中宣布安全更新。

• 及时更新到最新的 Flutter SDK 版本。 我们定期更新 Flutter，这些更新可能会修复旧版本中发现的安全缺陷。

• 保持应用程序的依赖项最新。 确保您升级您的包依赖项以保持依赖项最新。避免将依赖项固定到特定版本；如果这样做，请确保定期检查您的依赖项是否有安全更新，并相应地更新固定版本。

• 保持您的 Flutter 副本最新。 私人定制版本的 Flutter 往往会落后于当前版本，并且可能不包含重要的安全修复和增强功能。相反，请定期更新您的 Flutter 副本。如果您正在进行改进 Flutter 的更改，请务必更新您的分支并考虑与社区分享您的更改。