| 分支或版本 | 支持状态 |
|---|---|
master |
支持 |
| 最新 GitHub Release | 支持 |
| 历史版本 | 仅接受高危问题评估 |
安全修复优先合入 master,再按需要发布版本标签。
请通过 GitHub Issue 或私下联系仓库维护者报告漏洞。报告时建议包含:
请不要在公开 Issue、PR、评论、截图或日志中贴出真实密钥、账号密码、数据库备份、生产配置或可直接利用的攻击载荷。
userId、user、id 参数访问他人数据。ADMINTOKEN 认证,并区分管理员、演示账号、房东权限。仓库不依赖 GitHub 仓库设置中的 Code scanning 或 Secret scanning,改用 GitHub Actions workflow 提供替代能力:
| Workflow | 工具 | 作用 |
|---|---|---|
Secret Scan |
Gitleaks | 扫描当前工作树中的密钥,发现泄露会阻断 CI |
Security Checks |
Bandit | 扫描 Python 代码中的基础安全问题 |
Security Checks |
pip-audit | 扫描 Python 依赖已知漏洞 |
Security Checks |
npm audit | 扫描前端生产依赖 high 及以上漏洞 |
扫描报告会作为 Actions artifact 上传,便于维护者排查。
.env、生产配置、真实数据库备份或第三方 API Key。.env.example 和 web/.env.example。--no-git 扫描工作树;历史提交中的泄露需要单独审计。生产环境至少应满足:
DJANGO_DEBUG=falseDJANGO_SECRET_KEYDJANGO_ALLOWED_HOSTS 只包含真实域名或网关地址CORS_ALLOW_ALL_ORIGINS=falseCORS_ALLOWED_ORIGINS 只包含可信前端域名