WuYanBo
/
CodeReview
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
CodeReview/SECURITY.md

153 lines
4.4 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 安全政策
## 代码隐私与安全警告
⚠️ **重要提示**:本工具通过调用第三方 LLM 服务商 API 进行代码分析,**您的代码将被发送到所选择的 LLM 服务商服务器**。
### 严禁上传以下类型的代码
- 🔒 包含商业机密、专有算法或核心业务逻辑的代码
- 🛡️ 涉及国家秘密、国防安全或其他保密信息的代码
- 🔑 包含敏感数据如用户数据、密钥、密码、token 等)的代码
- ⚖️ 受法律法规限制不得外传的代码
- 📋 客户或第三方的专有代码(未经授权)
### 安全建议
1. **评估代码敏感性**
- 用户必须自行评估代码的敏感性
- 对上传代码及其可能导致的信息泄露承担全部责任
2. **使用本地模型处理敏感代码**
- 对于敏感代码,请使用 **Ollama 本地模型部署功能**
- 或使用私有部署的 LLM 服务
- 本地模型不会将代码发送到任何外部服务器
3. **代码脱敏**
- 上传前移除敏感信息API Key、密码、Token 等)
- 使用占位符替换真实数据
- 移除包含个人身份信息PII的代码
4. **遵守合规要求**
- 遵守所在国家/地区关于数据保护和隐私的法律法规
- 遵守公司或组织的保密协议和安全政策
- 确保拥有代码的使用和分析权限
---
## 支持的安全版本
| 版本 | 支持状态 |
|------|---------|
| 2.x.x | ✅ 支持 |
| 1.x.x | ❌ 不再支持 |
---
## 报告安全漏洞
如果您发现安全漏洞,请通过以下方式负责任地披露:
### 报告方式
1. **邮箱报告(推荐)**
- 发送邮件至: lintsinghua@qq.com
- 邮件标题请注明: `[Security] DeepAudit 安全漏洞报告`
2. **GitHub Issues**
- 地址: [GitHub Issues](https://github.com/lintsinghua/DeepAudit/issues)
- ⚠️ **请勿公开披露敏感漏洞详情**
- 仅描述漏洞类型,详细信息请通过邮件发送
### 报告内容
请在报告中包含以下信息:
- 漏洞类型和严重程度评估
- 受影响的版本和组件
- 复现步骤
- 潜在影响
- 建议的修复方案(如有)
### 响应时间
- 我们会在 **48 小时内** 确认收到报告
-**7 天内** 提供初步评估
- 根据漏洞严重程度,在 **30-90 天内** 发布修复
### 致谢
我们感谢所有负责任地报告安全问题的研究人员。在漏洞修复后,我们会在发布说明中致谢(除非您希望保持匿名)。
---
## 安全最佳实践
### 部署安全
1. **修改默认密钥**
```env
# 生产环境必须修改!
SECRET_KEY=your-random-secret-key-at-least-32-characters
```
2. **配置 HTTPS**
- 生产环境务必启用 HTTPS
- 使用 Let's Encrypt 或其他 SSL 证书
3. **限制 CORS**
- 生产环境配置具体的前端域名
- 不要使用 `allow_origins=["*"]`
4. **数据库安全**
- 修改默认数据库密码
- 限制数据库访问 IP
- 定期备份数据
5. **API 限流**
- 配置 Nginx 或应用层限流
- 防止 API 滥用
### 运行时安全
1. **定期更新依赖**
```bash
# 后端
cd backend && pip install --upgrade -r requirements.txt
# 前端
cd frontend && pnpm update
```
2. **监控日志**
- 配置日志收集
- 设置异常告警
3. **最小权限原则**
- 使用最小必要的权限运行服务
- 不要以 root 用户运行容器
---
## 第三方服务安全
本项目集成以下第三方服务,使用时请遵守其各自的服务条款和隐私政策:
| 服务 | 用途 | 隐私政策 |
|------|------|---------|
| OpenAI | LLM API | [Privacy Policy](https://openai.com/privacy/) |
| Google Gemini | LLM API | [Privacy Policy](https://policies.google.com/privacy) |
| Anthropic Claude | LLM API | [Privacy Policy](https://www.anthropic.com/privacy) |
| 阿里云通义千问 | LLM API | [隐私政策](https://terms.alicdn.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud202112071754_83380.html) |
| DeepSeek | LLM API | [Privacy Policy](https://www.deepseek.com/privacy) |
| Supabase | 数据库 | [Privacy Policy](https://supabase.com/privacy) |
| GitHub | 仓库集成 | [Privacy Policy](https://docs.github.com/en/site-policy/privacy-policies) |
---
## 免责声明
项目作者、贡献者和维护者对因用户上传敏感代码导致的任何信息泄露、知识产权侵权、法律纠纷或其他损失不承担任何责任。
详细免责声明请参阅 [DISCLAIMER.md](DISCLAIMER.md)。
Reference in New Issue View Git Blame Copy Permalink