安全

Flutter 团队非常重视 Flutter 及其创建的应用程序的安全。此页面介绍了如何报告您可能发现的任何漏洞，并列出了最大程度降低引入漏洞风险的最佳实践。

Flutter 安全策略基于五个关键支柱

• 识别：通过识别核心资产、主要威胁和漏洞来跟踪和优先考虑关键安全风险。
• 检测：使用漏洞扫描、静态应用程序安全测试和模糊测试等技术和工具来检测和识别漏洞。
• 保护：通过减轻已知漏洞并保护关键资产免受源威胁来消除风险。
• 响应：定义报告、分类和响应漏洞或攻击的流程。
• 恢复：构建能力以控制和从事件中恢复，并将影响降至最低。

在报告通过静态分析工具发现的安全漏洞之前，请考虑检查我们的已知误报列表。

要报告漏洞，请发送电子邮件至 security@flutter.dev，其中包含问题的描述、您采取的导致问题的步骤、受影响的版本以及（如果已知）问题的缓解措施。

我们应该在三个工作日内回复。

我们使用 GitHub 的安全咨询功能来跟踪未解决的安全问题。在解决您报告的问题时，您应该期望进行密切合作。

如果您没有收到及时的关注和定期更新，请再次联系 security@flutter.dev。您也可以使用我们的公共Discord 聊天频道联系团队；但是，在报告问题时，请发送电子邮件至 security@flutter.dev。为了避免在公共场合泄露可能使用户面临风险的漏洞信息，请勿发布到 Discord 或提交 GitHub 问题。

有关我们如何处理安全漏洞的更多详细信息，请参阅我们的安全策略。

如果您认为现有问题与安全相关，我们要求您发送电子邮件至 security@flutter.dev。电子邮件应包含问题 ID 和简要说明，说明为什么应根据此安全策略进行处理。

我们承诺为当前在stable分支上的 Flutter 版本发布安全更新。

我们将安全问题视为 P0 优先级，并针对在我们 SDK 的最新稳定版本中发现的任何重大安全问题发布 beta 版或修补程序。

针对 flutter 网站（如 docs.flutter.dev）报告的任何漏洞都不需要发布，将在网站本身修复。

贡献团队可以在其漏洞赏金计划的范围内包含 Flutter。要列出您的计划，请联系 security@flutter.dev。

Google 认为 Flutter 属于Google 开源软件漏洞奖励计划的范围。为了方便起见，报告者应在使用 Google 的漏洞报告流程之前联系 security@flutter.dev。

接收安全更新的最佳方法是订阅flutter-announce邮件列表或关注Discord 频道的更新。我们还在技术发布博文中宣布安全更新。

• 使用最新的 Flutter SDK 版本。我们定期更新 Flutter，这些更新可能会修复在先前版本中发现的安全缺陷。

• 使应用程序的依赖项保持最新。确保您升级软件包依赖项以保持依赖项最新。避免将依赖项固定到特定版本，如果您确实需要固定，请确保定期检查您的依赖项是否已进行安全更新，并相应地更新固定版本。

• 使您的 Flutter 副本保持最新。Flutter 的私有自定义版本往往落后于当前版本，并且可能不包含重要的安全修复和增强功能。相反，请定期更新您的 Flutter 副本。如果您正在进行更改以改进 Flutter，请务必更新您的 fork 并考虑与社区共享您的更改。

除非另有说明，否则本网站上的文档反映了 Flutter 的最新稳定版本。页面上次更新时间：2024-06-01。 查看源代码 或 报告问题。