Skip to content

Security: runzhliu/welink

Security

SECURITY.md

安全策略

支持的版本

目前只支持 main 分支的最新一个 release tag。历史版本的安全修复不回移。遇到安全问题,请先升级到最新版确认是否已修复。

报告漏洞

WeLink 是本地优先应用,典型攻击面:

  • 后端 HTTP API 被局域网 / 公网非预期暴露
  • OAuth 回调被劫持
  • preferences.json 里的 API Key / OAuth refresh token 泄露
  • 微信解密数据被路径穿越或 SSRF 读出
  • 供应链:上游依赖被污染

如果你发现了这类问题(或任何你认为是漏洞的),请不要开公开 Issue。按以下任一方式私密反馈:

方式 1:GitHub 私密安全公告(推荐)

https://github.com/runzhliu/welink/security/advisories/new

这个渠道会创建加密、仅维护者可见的 thread,我们可以在修复和披露前安全协作。

方式 2:邮件

[填项目维护者邮箱]

邮件请包含:

  • 漏洞类型(XSS / CSRF / RCE / 信息泄露 / 权限提升 等)
  • 能复现的最小步骤 / PoC
  • 受影响的版本
  • 你认为的影响程度和可能的修复方向

响应时间

  • 48 小时内:确认收到
  • 7 天内:初步评估(是否接受 / 严重程度)
  • 30 天内:修复并发布,或给出明确的时间表

协调披露

我们会和报告者协商:

  1. 漏洞修复后,CVE 编号(如适用)+ 发布 release 说明
  2. 安全公告 页面致谢(除非你要求匿名)
  3. 不会未经报告者同意就提前公开技术细节

已知非漏洞范围

以下不是漏洞,请不要作为安全问题报告:

  • 后端默认无登录鉴权:WeLink 是单用户本地工具,默认就假设唯一用户。见 FAQ · 同事在局域网里能访问吗?
  • "锁屏 PIN 只是视觉锁不是数据加密":文档里明确声明,真需要防物理入侵请用 FileVault / BitLocker
  • Docker 镜像在公网部署被未授权访问:这是部署问题,不是软件漏洞
  • 调试端口 / 开发模式暴露:这是配置问题

致谢

感谢所有负责任披露漏洞的安全研究者!发现的漏洞及致谢会在这里列出:

There aren't any published security advisories