安全
Dart 团队非常重视 Dart 及其创建的应用的安全性。此页面描述了如何报告您发现的任何漏洞,并列出了最小化引入漏洞风险的最佳实践。
安全理念
#Dart 的安全策略基于五个关键支柱
- 识别:通过识别核心资产、关键威胁和漏洞来跟踪和优先处理关键安全风险。
- 检测:使用漏洞扫描、静态应用安全测试和模糊测试等技术和工具检测和识别漏洞。
- 保护:通过缓解已知漏洞并保护关键资产免受源威胁来消除风险。
- 响应:定义报告、分类和响应漏洞或攻击的流程。
- 恢复:建立能力以控制事件并以最小影响从中恢复。
报告漏洞
#要报告安全问题,请使用 https://g.co/vulnz。协调和披露在 dart-lang GitHub 仓库中进行(包括 GitHub 安全公告)。请提供问题的详细描述、重现问题的步骤、受影响的版本以及任何问题的缓解措施。Google 安全团队将在您在 g.co/vulnz 上报告后的 5 个工作日内作出回应。
有关 Google 如何处理安全问题的更多信息,请参阅 Google 的安全理念。
将现有问题标记为与安全相关
#如果您认为现有问题与安全相关,请通过 https://g.co/vulnz 报告,并在报告中包含问题 ID。
支持的版本
#我们承诺为 Dart 当前最新的 稳定版 发布安全更新。
期望
#我们将安全问题视为 P0 优先级别,并为 Dart SDK 最新稳定版中发现的任何主要安全问题发布 beta 或补丁修复。对于 dart.dev 等 Dart 网站报告的任何漏洞,无需发布新版本,而是在网站本身进行修复。
Dart 没有漏洞赏金计划。
接收安全更新
#根据问题和修复版本的不同,相关公告将发布到 dart-announce 邮件列表。