安全策略
sqllog2db 是一个达梦数据库 SQL 日志解析命令行工具。我们重视用户和社区的安全,对安全漏洞采取严肃态度。本页面说明如何报告漏洞以及我们的处理流程。
支持版本
我们仅支持最新稳定版本。旧版本可能存在已知漏洞,建议尽快升级到最新版。
你可以在 crates.io 或 GitHub Releases 查看当前最新版本。
报告漏洞
如果你发现了安全漏洞,请通过以下任一方式私密报告,切勿在公开 issue 中披露。
首选方式:GitHub Security Advisory
通过 GitHub Security Advisory 提交漏洞报告是最推荐的方式:
- 访问 安全公告页
- 点击 "Report a vulnerability"
- 填写漏洞详情并提交
使用 Advisory 的好处:
- 私密提交:仅维护者可见,修复公开前不会泄露
- CVE 分配:GitHub 可自动为符合条件的漏洞分配 CVE 编号
- 自动通知:维护者会立即收到通知
建议提供的信息:
- 漏洞简要描述
- 影响版本
- 复现步骤(包含具体的命令和环境)
- 预期行为与实际行为的差异
- 建议的修复方案(如有)
备选方式:邮箱报告
如无法使用 GitHub Advisory,可通过以下邮箱报告:
安全邮箱: [请替换为实际安全邮箱]
建议使用 GPG 加密通信。如果你有 GPG 公钥需求,请先在 issue 中请求。
响应承诺
| 阶段 | 时间承诺 |
|---|---|
| 确认收到 | 48 小时内 |
| 初步评估 | 5 个工作日内 |
| 修复发布 | 根据严重程度确定 |
严重程度分级
| 级别 | 说明 | 修复目标 |
|---|---|---|
| 严重(Critical) | 远程代码执行、任意文件读取/写入 | 72 小时内发布补丁 |
| 高(High) | 信息泄露、权限提升 | 7 天内发布补丁 |
| 中(Medium) | 特定条件下的功能绕过 | 下一版本修复 |
| 低(Low) | 非敏感信息暴露、配置问题 | 适时修复 |
安全更新流程
- 漏洞被私密报告并验证
- 维护者开发修复补丁
- 发布包含安全修复的新版本(补丁版本号递增)
- 在 CHANGELOG.md 中标注安全修复(
### Security小节) - 在 GitHub Advisory 上公开披露
- 修复前的漏洞细节在 CVE 分配和补丁发布之前不会公开
工具依赖安全
sqllog2db 依赖 Rust 生态中的外部 crate。我们通过以下方式管理依赖安全:
- CI 流水线会检测 Rust 安全公告(RustSec)
- 建议用户保持工具更新到最新版本
- 如发现依赖 crate 中的漏洞,在工具层面会尽快修复或缓解
如有其他安全问题或疑虑,请通过上述方式联系维护者。