请勿通过公开的 GitHub Issue 报告安全漏洞。

如果你发现了安全问题,请通过以下方式私密报告:

1. 首选方式:使用 GitHub Security Advisories 创建私密安全报告
2. 备选方式:发送邮件至维护者(请在 GitHub Profile 中获取联系方式)

• 漏洞类型(如:XSS、注入、权限绕过等)
• 受影响的文件路径和代码行
• 复现步骤
• 潜在影响评估
• 修复建议(如果有的话)

我们遵循负责任披露原则:

• 收到报告后会尽快确认并评估
• 修复完成前不会公开漏洞详情
• 修复发布后会在 Release Notes 中致谢报告者(除非报告者要求匿名)
• 我们不会对善意的安全研究者采取法律行动

如果你部署了三省六部系统,建议:

• 定期更新到最新版本
• 不要将 data/ 目录暴露到公网
• 配置防火墙限制看板端口(默认 7891)的访问
• 使用反向代理(如 Nginx)时启用 HTTPS
• 为 LLM API Key 设置最小必要权限

我们感谢所有帮助提升三省六部系统安全性的安全研究者。