安全性
Flutter 團隊非常重視 Flutter 及其所建立應用程式的安全性。本頁說明如何回報您可能發現的任何漏洞,並列出將漏洞引入風險降至最低的最佳做法。
安全理念
#Flutter 安全策略基於五大支柱
- 識別:透過識別核心資產、主要威脅和漏洞,追蹤並優先處理主要安全風險。
- 偵測:使用漏洞掃描、靜態應用程式安全測試和模糊測試等技術和工具,偵測並識別漏洞。
- 保護:透過緩解已知漏洞並保護重要資產免受來源威脅,消除風險。
- 回應:定義回報、分類和回應漏洞或攻擊的程序。
- 復原:建立能力,以在最小影響下遏制並從事件中復原。
回報漏洞
#在回報靜態分析工具發現的安全漏洞之前,請考慮查看我們的已知誤報清單。
若要回報漏洞,請寄送電子郵件至 [email protected]
,並描述問題、您建立問題所採取的步驟、受影響的版本,以及(如果已知)問題的緩解措施。
我們應在三個工作天內回覆。
我們使用 GitHub 的安全諮詢功能來追蹤開放的安全問題。當我們努力解決您回報的問題時,您應該會預期密切合作。
如果您沒有得到及時的關注和定期更新,請再次聯絡 [email protected]
。您也可以使用我們的公開 Discord 聊天頻道與團隊聯絡;但是,在回報問題時,請電子郵件至 [email protected]
。為了避免在公開場合洩漏有關漏洞的資訊,而可能使使用者處於風險之中,請勿張貼到 Discord 或提出 GitHub 問題。
如需更多有關我們如何處理安全漏洞的詳細資訊,請參閱我們的安全政策。
將現有問題標記為與安全相關
#如果您認為現有的問題與安全相關,我們要求您發送電子郵件至 [email protected]
。電子郵件應包含問題 ID 和簡短描述,說明為何應根據此安全政策處理。
支援的版本
#我們承諾針對目前在 stable
分支上的 Flutter 版本發布安全更新。
期望
#我們將安全問題視為等同於 P0 優先級別,並針對我們 SDK 最新穩定版本中發現的任何重大安全問題發布 Beta 版或修補程式。
針對 flutter 網站(如 docs.flutter.dev)回報的任何漏洞不需要發布版本,將會在網站本身中修正。
漏洞獎勵計畫
#參與團隊可以在其漏洞獎勵計畫的範圍內包含 Flutter。若要列出您的計畫,請聯絡 [email protected]
。
Google 認為 Flutter 在Google 開源軟體漏洞獎勵計畫的範圍內。為了加快速度,回報者應在使用 Google 的漏洞回報流程之前聯絡 [email protected]
。
接收安全更新
#接收安全更新的最佳方法是訂閱 flutter-announce 電子郵件列表或觀看 Discord 頻道的更新。我們也會在技術版本部落格文章中公布安全更新。
最佳實務
#保持 Flutter SDK 最新版本的更新。 我們會定期更新 Flutter,這些更新可能會修正先前版本中發現的安全缺陷。
保持應用程式的相依性為最新狀態。 請確定您升級您的套件相依性,以保持相依性為最新狀態。避免釘選到特定版本的相依性,如果您這樣做,請確保您定期檢查您的相依性是否有安全更新,並相應地更新釘選。
保持您的 Flutter 副本為最新狀態。 私人、自訂版本的 Flutter 往往會落後於目前版本,而且可能不包含重要的安全修復和增強功能。相反地,請定期更新您的 Flutter 副本。如果您要進行變更以改進 Flutter,請務必更新您的分支,並考慮與社群分享您的變更。
除非另有說明,本網站上的文件反映 Flutter 的最新穩定版本。頁面上次更新時間為 2024-06-01。 檢視原始碼 或 回報問題。