安全
Dart 团队非常重视 Dart 及其创建的应用的安全性。本页介绍如何报告您发现的任何漏洞,并列出最大限度降低引入漏洞风险的最佳实践。
安全理念
#Dart 的安全策略基于五个关键支柱
- 识别:通过识别核心资产、主要威胁和漏洞,跟踪并优先考虑关键安全风险。
- 检测:使用漏洞扫描、静态应用程序安全测试和模糊测试等技术和工具,检测和识别漏洞。
- 保护:通过缓解已知漏洞来消除风险,并保护关键资产免受来源威胁。
- 响应:定义报告、分类和响应漏洞或攻击的流程。
- 恢复:构建能力,以尽可能小的影响来控制事件并从中恢复。
报告漏洞
#要报告安全问题,请使用 https://g.co/vulnz。协调和披露在 dart-lang GitHub 仓库(包括 GitHub 安全公告)中进行。请包含问题的详细描述、您创建问题所采取的步骤、受影响的版本以及该问题的任何缓解措施。Google 安全团队将在您在 g.co/vulnz 上报告后的 5 个工作日内回复。
有关 Google 如何处理安全问题的更多信息,请参阅Google 的安全理念。
将现有问题标记为安全相关
#如果您认为现有问题与安全相关,我们要求您通过 https://g.co/vulnz 报告,并在报告中包含问题 ID。
支持的版本
#我们承诺为最新 稳定 Dart 版本的当前 Dart 版本发布安全更新。
期望
#我们将安全问题视为 P0 优先级级别,并为最新稳定版 Dart SDK 中发现的任何重大安全问题发布 Beta 版或补丁修复程序。Dart 网站(如 dart.dev)报告的任何漏洞都不需要发布,将在网站本身中修复。
Dart 没有漏洞赏金计划。
接收安全更新
#根据问题和修复发布,将在 dart-announce 邮件列表中发布公告。
最佳实践
#保持 Dart SDK 最新版本。 我们会定期更新 Dart,这些更新可能会修复以前版本中发现的安全缺陷。查看 Dart 更新日志 以获取安全相关的更新。
保持应用程序的依赖项为最新。 确保您升级您的包依赖项以保持依赖项为最新。避免将依赖项锁定到特定版本,如果您这样做,请确保定期检查您的依赖项是否进行了安全更新,并相应地更新版本锁定。
除非另有说明,否则本网站上的文档反映了 Dart 3.7.1 版本。页面上次更新于 2024-11-18。 查看源代码 或 报告问题。