Flutter 团队高度重视 Flutter 及其所创建应用程序的安全性。本页面介绍了如何报告您可能发现的任何漏洞,并列出了最大限度降低引入漏洞风险的最佳实践。

安全理念

#

Flutter 的安全策略基于五大支柱

  • 识别:通过识别核心资产、主要威胁和漏洞,跟踪并优先处理关键安全风险。
  • 检测:使用漏洞扫描、静态应用安全测试和模糊测试等技术和工具检测和识别漏洞。
  • 保护:通过缓解已知漏洞来消除风险,并保护关键资产免受源威胁。
  • 响应:定义报告、分类和响应漏洞或攻击的流程。
  • 恢复:建立能力以控制事件并从中恢复,同时将影响降至最低。

报告漏洞

#

在报告由静态分析工具发现的安全漏洞之前,请考虑查阅我们的已知误报列表。

要报告漏洞,请发送电子邮件至 security@flutter.dev,邮件中应包含问题描述、重现问题的步骤、受影响的版本,以及如果已知的话,针对该问题的缓解措施。

我们将在三个工作日内回复。

我们使用 GitHub 的安全咨询功能来跟踪未解决的安全问题。在解决您报告的问题时,您应该期望与我们密切合作。

如果您没有得到及时关注和定期更新,请再次联系 security@flutter.dev。您也可以通过我们的公共 Discord 聊天频道联系团队;但是,在报告问题时,请发送电子邮件至 security@flutter.dev。为避免公开披露可能使用户面临风险的漏洞信息,请勿在 Discord 上发帖或提交 GitHub 问题

有关我们如何处理安全漏洞的更多详细信息,请参阅我们的安全政策

#

如果您认为现有问题与安全相关,我们请求您发送电子邮件至 security@flutter.dev。邮件中应包含问题 ID 和一个简短描述,说明为何应根据此安全政策处理该问题。

支持的版本

#

我们承诺为目前处于 stable 分支的 Flutter 版本发布安全更新。

预期

#

我们将安全问题视为 P0 优先级,并为我们 SDK 最新稳定版本中发现的任何重大安全问题发布 beta 版或热修复补丁。

针对 docs.flutter.dev 等 Flutter 网站报告的任何漏洞不需要发布新版本,将在网站本身中修复。

漏洞赏金计划

#

贡献团队可以将 Flutter 纳入其漏洞赏金计划的范围。要列出您的计划,请联系 security@flutter.dev

Google 认为 Flutter 属于 Google 开源软件漏洞奖励计划的范围。为方便起见,报告者在使用 Google 的漏洞报告流程之前,应联系 security@flutter.dev

接收安全更新

#

接收安全更新的最佳方式是订阅 flutter-announce 邮件列表或关注 Discord 频道的更新。我们也会在技术发布博客文章中宣布安全更新。

最佳实践

#
  • 及时更新到最新的 Flutter SDK 版本。 我们定期更新 Flutter,这些更新可能会修复旧版本中发现的安全缺陷。

  • 保持应用程序的依赖项最新。 确保您升级您的包依赖项以保持依赖项最新。避免将依赖项固定到特定版本;如果这样做,请确保定期检查您的依赖项是否有安全更新,并相应地更新固定版本。

  • 保持您的 Flutter 副本最新。 私人定制版本的 Flutter 往往会落后于当前版本,并且可能不包含重要的安全修复和增强功能。相反,请定期更新您的 Flutter 副本。如果您正在进行改进 Flutter 的更改,请务必更新您的分支并考虑与社区分享您的更改。