跳至主要內容

安全性

Flutter 團隊非常重視 Flutter 及其所建立應用程式的安全性。本頁說明如何回報您可能發現的任何漏洞,並列出將漏洞引入風險降至最低的最佳做法。

安全理念

#

Flutter 安全策略基於五大支柱

  • 識別:透過識別核心資產、主要威脅和漏洞,追蹤並優先處理主要安全風險。
  • 偵測:使用漏洞掃描、靜態應用程式安全測試和模糊測試等技術和工具,偵測並識別漏洞。
  • 保護:透過緩解已知漏洞並保護重要資產免受來源威脅,消除風險。
  • 回應:定義回報、分類和回應漏洞或攻擊的程序。
  • 復原:建立能力,以在最小影響下遏制並從事件中復原。

回報漏洞

#

在回報靜態分析工具發現的安全漏洞之前,請考慮查看我們的已知誤報清單。

若要回報漏洞,請寄送電子郵件至 [email protected],並描述問題、您建立問題所採取的步驟、受影響的版本,以及(如果已知)問題的緩解措施。

我們應在三個工作天內回覆。

我們使用 GitHub 的安全諮詢功能來追蹤開放的安全問題。當我們努力解決您回報的問題時,您應該會預期密切合作。

如果您沒有得到及時的關注和定期更新,請再次聯絡 [email protected]。您也可以使用我們的公開 Discord 聊天頻道與團隊聯絡;但是,在回報問題時,請電子郵件至 [email protected]。為了避免在公開場合洩漏有關漏洞的資訊,而可能使使用者處於風險之中,請勿張貼到 Discord 或提出 GitHub 問題

如需更多有關我們如何處理安全漏洞的詳細資訊,請參閱我們的安全政策

#

如果您認為現有的問題與安全相關,我們要求您發送電子郵件至 [email protected]。電子郵件應包含問題 ID 和簡短描述,說明為何應根據此安全政策處理。

支援的版本

#

我們承諾針對目前在 stable 分支上的 Flutter 版本發布安全更新。

期望

#

我們將安全問題視為等同於 P0 優先級別,並針對我們 SDK 最新穩定版本中發現的任何重大安全問題發布 Beta 版或修補程式。

針對 flutter 網站(如 docs.flutter.dev)回報的任何漏洞不需要發布版本,將會在網站本身中修正。

漏洞獎勵計畫

#

參與團隊可以在其漏洞獎勵計畫的範圍內包含 Flutter。若要列出您的計畫,請聯絡 [email protected]

Google 認為 Flutter 在Google 開源軟體漏洞獎勵計畫的範圍內。為了加快速度,回報者應在使用 Google 的漏洞回報流程之前聯絡 [email protected]

接收安全更新

#

接收安全更新的最佳方法是訂閱 flutter-announce 電子郵件列表或觀看 Discord 頻道的更新。我們也會在技術版本部落格文章中公布安全更新。

最佳實務

#
  • 保持 Flutter SDK 最新版本的更新。 我們會定期更新 Flutter,這些更新可能會修正先前版本中發現的安全缺陷。

  • 保持應用程式的相依性為最新狀態。 請確定您升級您的套件相依性,以保持相依性為最新狀態。避免釘選到特定版本的相依性,如果您這樣做,請確保您定期檢查您的相依性是否有安全更新,並相應地更新釘選。

  • 保持您的 Flutter 副本為最新狀態。 私人、自訂版本的 Flutter 往往會落後於目前版本,而且可能不包含重要的安全修復和增強功能。相反地,請定期更新您的 Flutter 副本。如果您要進行變更以改進 Flutter,請務必更新您的分支,並考慮與社群分享您的變更。