安全

Dart 团队非常重视 Dart 及其创建的应用程序的安全。此页面介绍了如何报告您发现的任何漏洞，并列出了最大程度降低引入漏洞风险的最佳实践。

Dart 的安全策略基于五个关键支柱

• 识别：通过识别核心资产、关键威胁和漏洞来跟踪和优先考虑关键安全风险。
• 检测：使用漏洞扫描、静态应用程序安全测试和模糊测试等技术和工具来检测和识别漏洞。
• 保护：通过减轻已知漏洞和保护关键资产免受源威胁来消除风险。
• 响应：定义报告、分类和响应漏洞或攻击的流程。
• 恢复：构建能力以控制和从事件中恢复，并将影响降到最低。

要报告安全问题，请使用 https://g.co/vulnz。协调和披露在 dart-lang GitHub 存储库（包括 GitHub 安全公告）中进行。请提供有关问题的详细说明、您采取的导致问题的步骤、受影响的版本以及任何问题的缓解措施。Google 安全团队将在您在 g.co/vulnz 上报告后的 5 个工作日内回复您。

有关 Google 如何处理安全问题的更多信息，请参阅 Google 的安全理念。

如果您认为现有问题与安全相关，我们要求您通过 https://g.co/vulnz 报告它，并在您的报告中包含问题 ID。

我们承诺为当前最新 稳定 Dart 版本发布安全更新。

我们将安全问题视为 P0 优先级，并针对在最新稳定版 Dart SDK 中发现的任何重大安全问题发布 Beta 或补丁修复。针对 Dart 网站（如 dart.dev）报告的任何漏洞都不需要发布，并将在网站本身中修复。

Dart 没有错误赏金计划。

根据问题和修复版本，将向 dart-announce 邮件列表发布公告。

• 随时了解最新的 Dart SDK 版本。 我们定期更新 Dart，这些更新可能会修复在先前版本中发现的安全缺陷。查看 Dart 变更日志 以获取与安全相关的更新。

• 使您的应用程序的依赖项保持最新。 确保您 升级您的包依赖项 以保持依赖项最新。避免固定到依赖项的特定版本，并且，如果您确实固定了版本，请确保定期检查您的依赖项是否有安全更新，并相应地更新版本固定。

除非另有说明，否则此网站上的文档反映了 Dart 3.5.3。页面最后更新于 2024-07-03。 查看源代码 或 报告问题。