FIM One 非常重视安全性。如果您发现漏洞,我们希望听到您的反馈 — 我们将为您的负责任披露提供致谢。
报告漏洞
不要为安全漏洞开设公开的 GitHub issue。 请使用以下私密渠道之一。
- GitHub Security Advisories(推荐)— 创建私密公告。在发布修复之前,只有维护者可以看到。
- 电子邮件 — 将详情发送至 security@fim.ai,包括描述、复现步骤、受影响的版本和影响评估。
对于低严重性问题(例如,不会暴露敏感数据的缺失安全标头),你可以使用 security 标签开设常规 GitHub issue。
响应时间表
| 阶段 | 目标 |
|---|
| 确认 | 48 小时内(工作日) |
| 初步评估 | 5 个工作日内 |
| 修复开发 | 严重:立即。高:2 周。中/低:下一个版本。 |
| 公开披露 | 修复发布后,用户有时间更新 |
范围内
- 身份验证和授权绕过
- SQL 注入、命令注入或代码执行
- 跨站脚本 (XSS) 或跨站请求伪造 (CSRF)
- 凭证或 API 密钥泄露
- 用户或组织之间的权限提升
- 跨租户边界的数据泄露
超出范围
- 第三方依赖中的漏洞(向上游报告;我们通过 Dependabot 进行监控)
- 社会工程攻击
- 没有现实攻击向量的拒绝服务 (DoS)
- 仅影响演示/云环境而不影响自托管部署的问题
自托管安全最佳实践
如果您在自己的基础设施上运行 FIM One,请遵循以下建议来加强您的部署。
这些实践适用于生产部署。对于本地开发,默认设置即可。
| 实践 | 详情 |
|---|
保护 .env | 将其排除在版本控制之外(.gitignore 默认包含它)。将文件权限限制为仅应用程序用户。 |
强 JWT_SECRET_KEY | 使用密码学随机值(至少 32 个字符)。切勿在环境之间重复使用密钥。 |
| 使用 TLS 的反向代理 | 在 nginx、Caddy 或启用 HTTPS 的云负载均衡器后面运行。切勿直接向互联网公开应用程序端口。 |
| 使用 PostgreSQL | SQLite 适合开发和单用户设置。对于多用户生产部署,使用 PostgreSQL 以获得适当的并发性和数据完整性。 |
| 保持更新 | 定期拉取最新版本。安全补丁会尽力向前一个次要版本回溯。 |
| 限制网络访问 | 将数据库和应用程序端口限制为受信任的网络。使用防火墙规则或安全组。 |
安全名人堂
我们感谢所有已确认的漏洞报告者(除非他们希望保持匿名)。报告者还可以获得先锋计划的资格。
成为第一位在此获得认可的安全研究人员。
完整安全政策
本页总结了要点。如需完整的安全政策,请参阅 GitHub 上的 SECURITY.md。 
