HousingRentalManagementSystem

安全策略

支持范围

分支或版本 支持状态
master 支持
最新 GitHub Release 支持
历史版本 仅接受高危问题评估

安全修复优先合入 master,再按需要发布版本标签。

报告漏洞

请通过 GitHub Issue 或私下联系仓库维护者报告漏洞。报告时建议包含:

请不要在公开 Issue、PR、评论、截图或日志中贴出真实密钥、账号密码、数据库备份、生产配置或可直接利用的攻击载荷。

当前安全控制

CI 安全扫描

仓库不依赖 GitHub 仓库设置中的 Code scanning 或 Secret scanning,改用 GitHub Actions workflow 提供替代能力:

Workflow 工具 作用
Secret Scan Gitleaks 扫描当前工作树中的密钥,发现泄露会阻断 CI
Security Checks Bandit 扫描 Python 代码中的基础安全问题
Security Checks pip-audit 扫描 Python 依赖已知漏洞
Security Checks npm audit 扫描前端生产依赖 high 及以上漏洞

扫描报告会作为 Actions artifact 上传,便于维护者排查。

密钥处理

生产环境基线

生产环境至少应满足: