本文说明如何向 Claude How To 项目报告安全漏洞。

快速链接

• 私密报告：YOUR_REPO
• 安全政策：SECURITY.md
• 报告模板：见下文

报告漏洞

选项 1：GitHub 私密漏洞报告（推荐）

这是报告安全漏洞的首选方式。

步骤：

1. 访问：YOUR_REPO
2. 点击 “Report a vulnerability”
3. 填写详情（可使用下方模板）
4. 提交

优点：

• 在修复发布前保持漏洞私密
• 自动通知维护者
• 内置协作功能
• 与 GitHub 安全工具集成

选项 2：GitHub 安全警报（依赖漏洞）

如果你在依赖中发现漏洞：

1. 访问：YOUR_REPO
2. 查看警报
3. 提交包含修复的 pull request
4. 加上 security 标签

选项 3：私密邮箱（GitHub 不可用时）

如果你无法使用 GitHub 的报告系统：

即将提供：这里会补充安全联系邮箱

目前请优先使用上面的 GitHub 私密漏洞报告。

漏洞报告模板

报告漏洞时可使用以下模板：

**标题**：[漏洞简述]

**严重性**：[Critical/High/Medium/Low]
Estimated CVSS Score: [0-10]

**类型**：[代码/文档/依赖/配置]

**受影响组件**：
- File: [path/to/file.py]
- Section: [文档章节名，如适用]
- Version: [latest/具体版本]

**描述**：
[对漏洞的清晰说明]

**潜在影响**：
[攻击者可以利用该漏洞做什么？]
[可能影响哪些人？]

**复现步骤**：
1. [第一步]
2. [第二步]
3. [第三步]
[预期结果与实际结果]

**PoC**（如有）：
[用于演示漏洞的代码或步骤]

**建议修复**：
[你的建议方案，如有]

**附加上下文**：
[任何其他相关信息]

**你的信息**：
- Name: [你的名字或匿名]
- Email: [你的邮箱]
- Credit: [你希望如何署名，如有]

提交后会发生什么

时间线

1. 立刻（< 1 小时）

   • 自动通知会发送给项目维护者

2. 24 小时内

   • 对报告进行初步评估
   • 确认已收到
   • 初步严重性评估

3. 48 小时内

   • 安全团队给出详细回复
   • 如需更多信息会继续询问
   • 如果确认漏洞存在，会给出修复时间线

4. 1-7 天内（取决于严重性）

   • 完成修复并测试
   • 准备安全公告
   • 发布修复并公开公告

沟通方式

我们会通过以下方式与你保持沟通：

• GitHub 私密漏洞讨论
• 邮件（如果你提供了）
• 讨论线程中的更新

你可以：

• 提出澄清问题
• 补充更多信息
• 建议改进修复方案
• 请求调整时间线

披露时间线

严重问题（CVSS 9.0-10.0）

• 修复：立即发布（24 小时内）
• 披露：当天发布公开公告
• 通知：提前 24 小时通知报告者

高危问题（CVSS 7.0-8.9）

• 修复：48-72 小时内发布
• 披露：发布时公开公告
• 通知：提前 5 天通知报告者

中危问题（CVSS 4.0-6.9）

• 修复：纳入下一次常规更新
• 披露：发布时公开公告
• 通知：协调时间线

低危问题（CVSS 0.1-3.9）

• 修复：纳入下一次常规更新
• 披露：发布时公告
• 通知：与发布同日

安全漏洞标准

范围内

我们接受以下类型的报告：

• 代码漏洞

  • 注入攻击（命令、SQL 等）
  • 示例中的跨站脚本（XSS）
  • 认证/授权缺陷
  • 路径穿越漏洞
  • 密码学问题

• 文档安全

  • 暴露的秘密或凭据
  • 不安全代码模式
  • 安全反模式
  • 误导性的安全声明

• 依赖漏洞

  • 依赖中的已知 CVE
  • 供应链攻击
  • 恶意依赖

• 配置问题

  • 不安全默认值
  • 缺失安全头
  • 示例中的凭据暴露

范围外

以下内容不接受报告：

• Claude Code 本身的漏洞（请联系 Anthropic）
• 外部服务中的漏洞
• 没有证明的理论漏洞
• 已向上游项目报告的问题
• 社会工程学或钓鱼
• 用户教育 / 培训问题

负责任披露指南

应该做的 ✅

• 先私下报告，再公开披露
• 尽量具体，提供文件路径和行号
• 提供证明，说明漏洞确实存在
• 给我们时间修复（协调披露）
• 补充更新，如果你发现了更多细节
• 保持专业，在所有沟通中都如此
• 尊重保密性，直到我们公开发布

不应该做的 ❌

• 不要在修复前公开披露
• 不要超出测试所需范围去利用漏洞
• 不要修改其他用户的数据
• 不要索要报酬或好处
• 不要把漏洞分享给其他人
• 不要用于任何有害用途
• 不要用非安全相关 issue 刷屏

协调披露

我们遵循负责任披露流程：

1. 私密报告：你先私下告诉我们
2. 我们评估：判断并评估严重性
3. 开发修复：我们开发并测试修复
4. 提前通知：在公开披露前提前通知你
5. 公开发布：我们同时发布修复和公告
6. 你的署名：如你愿意，会在公告中致谢

具体时间会根据严重性变化（见上文）

修复发布后

公开公告

公开安全公告通常包含：

• 漏洞描述
• 受影响版本
• 严重性（CVSS 分数）
• 修复步骤
• 修复链接
• 对报告者的致谢（如获许可）

你的署名

如果你希望被致谢：

• 公告中会写上你的名字/昵称
• 可附上你的个人资料或网站链接
• 在发布说明中致谢
• 如果未来建立名人堂，也可能加入

不提供金钱补偿

请注意：

• 这是一个志愿者维护的开源项目
• 我们无法提供金钱奖励
• 但会提供认可和署名
• 你的贡献会帮助整个社区

安全研究

如果你在做安全研究：

1. 先取得许可：先联系维护者
2. 明确范围：约定你会测试什么
3. 报告发现：使用本流程
4. 尊重时间线：给我们时间修复
5. 负责任地发布：与我们协调

有问题？

如果你对这个流程有疑问：

1. 查看 SECURITY.md 的完整政策
2. 查看下方的 FAQ
3. 使用 [SECURITY] 标签发起 discussion
4. 对敏感问题使用私密漏洞报告