我们为以下版本提供安全更新支持：

• 当前版本: 1.0.8
• 发布周期: 根据需要发布补丁版本
• 支持期限: 主版本发布后至少 6 个月

我们非常重视安全问题。如果你发现了安全漏洞，请不要公开披露，而是通过以下方式私下报告：

1. GitHub Security Advisory (推荐)

   • 访问 Security Advisories
   • 点击 "Report a vulnerability"
   • 填写漏洞详情

2. GitHub Issues (私密)

   • 创建新 Issue 并标记为 security
   • 在描述中说明这是安全问题
   • 我们会尽快将其转为私密讨论

请在报告中包含以下信息：

• 漏洞类型 - 例如：XSS、SQL 注入、权限提升等
• 影响范围 - 哪些版本受影响
• 复现步骤 - 详细的操作步骤
• 影响评估 - 漏洞可能造成的影响
• 建议修复 - 如果有修复建议(可选)
• 联系方式 - 以便我们跟进

**漏洞类型**: 路径遍历

**影响版本**: 1.0.0 - 1.0.8

**复现步骤**:
1. 打开应用
2. 在文件管理器中...
3. 可以访问系统目录外的文件

**影响评估**:
攻击者可能读取系统敏感文件

**建议修复**:
在文件路径处理中添加路径验证

我们使用 CVSS 3.1 标准评估漏洞严重程度：

1. 开发修复 - 在私有分支开发修复
2. 内部测试 - 全面测试修复方案
3. 准备发布 - 更新版本号和 CHANGELOG
4. 发布更新 - 发布新版本到 GitHub Releases
5. 通知用户 - 通过 GitHub 和应用内通知
6. 公开披露 - 发布安全公告

用户会通过以下方式收到安全更新通知：

• ✅ 应用内通知 - 自动检测新版本
• ✅ GitHub Release - 发布说明中标注安全更新
• ✅ CHANGELOG - 详细记录安全修复

为了保护你的数据安全，我们建议：

1. 及时更新 - 始终使用最新版本
2. 定期备份 - 使用内置备份功能
3. 谨慎操作 - 不要打开不信任的文件
4. 权限控制 - 仅授予必要的系统权限

如果你是贡献者，请遵循以下安全实践：

1. 输入验证 - 验证所有用户输入
2. 路径检查 - 防止路径遍历攻击
3. 权限最小化 - 仅请求必要权限
4. 依赖更新 - 及时更新依赖库
5. 代码审查 - 所有代码都需要审查

目前没有已知的安全问题。

MarKing 内置以下安全功能：

• ✅ 本地存储 - 所有数据存储在本地，不上传云端
• ✅ 自动备份 - 定期自动备份，防止数据丢失
• ✅ 版本快照 - 保留历史版本，可随时恢复
• ✅ 日志记录 - 完整的操作日志，便于问题追踪

• ✅ 代码签名 - 所有发布版本都经过代码签名
• ✅ 权限控制 - 最小化系统权限请求
• ✅ 沙箱隔离 - 使用 Tauri 沙箱机制
• ✅ 安全更新 - 自动检测和提示安全更新

• ✅ 无追踪 - 不收集任何用户行为数据
• ✅ 无广告 - 完全无广告
• ✅ 无网络 - 核心功能无需网络连接
• ✅ 开放透明 - 代码公开，可审计

我们定期审查和更新第三方依赖，确保没有已知漏洞。

• 使用 npm audit 检查 npm 依赖
• 使用 cargo audit 检查 Rust 依赖
• 使用 Dependabot 自动更新依赖
• 定期审查依赖许可证

• 定期进行内部安全审计
• 考虑引入第三方安全审计
• 建立漏洞赏金计划(待定)

• 🔒 GitHub Security Advisories
• 🐛 GitHub Issues (标记为 security)

• 💬 GitHub Discussions
• 📚 文档

我们感谢所有负责任地报告安全问题的研究人员和用户。

目前暂无安全贡献者。如果你报告了安全问题，我们会在此致谢(经你同意)。

虽然我们尽最大努力确保 MarKing 的安全性，但无法保证软件完全没有漏洞。使用本软件即表示你理解并接受相关风险。

详见 LICENSE 中的免责声明。

最后更新: 2026-02-03

感谢你帮助我们保持 MarKing 的安全！🔒