admin123
/
translation
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
translation/translated/documents/SuperClaude/SECURITY.md

5.6 KiB
Raw Blame History

安全策略

🔒 报告安全漏洞

我们认真对待安全。如果您发现 SuperClaude Framework 中的安全漏洞,请帮助我们负责任地解决它。

负责任的披露

请不要为安全漏洞创建公共 GitHub 问题。

相反,请直接通过电子邮件联系我们:security@superclaude.dev(或创建私有 GitHub 安全咨询)

报告内容

报告漏洞时,请提供:

  • 漏洞描述及其潜在影响
  • 复现步骤提供最小示例
  • 受影响的版本和组件
  • 建议的修复如果您有任何想法
  • 您的联系信息用于后续问题

响应时间表

  • 初始响应:报告后 48 小时内
  • 严重性评估1 周内
  • 修复时间表:取决于严重程度(见下文)
  • 公开披露:修复发布且用户有时间更新后

🚨 严重性级别

关键24-48 小时内修复)

  • 远程代码执行漏洞
  • 影响系统安全的权限提升
  • 数据泄露或对敏感信息的未授权访问

1 周内修复)

  • 通过钩子操作进行的本地代码执行
  • 超出预期范围的未授权文件系统访问
  • MCP 服务器通信中的身份验证绕过

1 个月内修复)

  • 非敏感数据的信息泄露
  • 通过资源耗尽造成的拒绝服务
  • 影响有限的输入验证问题

低(下一版本修复)

  • 轻微信息泄露
  • 具有安全影响的配置问题
  • 利用性低的依赖漏洞

🛡️ 安全功能

Hook 执行安全

  • 超时保护:所有 hooks 都有可配置的超时
  • 输入验证:所有 hook 输入的 JSON 模式验证
  • 沙盒执行hooks 以有限系统权限运行
  • 错误包含hook 失败不影响框架稳定性

文件系统保护

  • 路径验证:防止目录遍历攻击
  • 权限检查:操作前验证文件系统权限
  • 安全默认:保守的文件访问模式
  • 备份机制:操作失败时的安全回退

MCP 服务器安全

  • 服务器验证:验证 MCP 服务器的真实性和完整性
  • 通信加密:所有 MCP 通信的安全通道
  • 超时处理:防止无响应服务器的资源耗尽
  • 回退机制:服务器受损时的优雅降级

配置安全

  • 输入清理:所有配置输入都经过验证和清理
  • 密钥管理API 密钥和敏感数据的安全处理
  • 权限控制settings.json 中的细粒度访问控制
  • 审计日志:跟踪安全相关的配置更改

🔧 安全最佳实践

用户指南

安装安全

# 运行前验证安装脚本
cat install.sh | less

# 使用开发模式进行测试
./install.sh --dev

# 安装后检查文件权限
ls -la ~/.claude/

配置安全

{
  "permissions": {
    "deny": [
      "Bash(rm:-rf /*)",
      "Bash(sudo:*)",
      "WebFetch(domain:localhost)"
    ]
  }
}

定期维护

  • 定期更新:保持 SuperClaude 和依赖项为最新版本
  • 查看日志:检查 ~/.claude/ 中是否有可疑活动
  • 监控权限:确保 hooks 具有最小必需权限
  • 验证配置:使用提供的模式验证设置

开发者指南

Hook 开发

# 始终验证输入
def validate_input(data: Dict[str, Any]) -> bool:
    required_fields = ["tool", "data"]
    return all(field in data for field in required_fields)

# 优雅地处理错误
try:
    result = process_data(input_data)
except Exception as e:
    return {"status": "error", "message": "Processing failed"}

# 对外部调用使用超时
import signal
signal.alarm(10)  # 10秒超时

安全编码指南

  • 输入验证:验证所有外部输入
  • 错误处理:永远不要在错误消息中暴露内部状态
  • 资源限制:实现超时和资源限制
  • 最小权限原则:请求最小必需权限

📋 安全检查清单

发布前

  • 所有依赖项更新到最新安全版本
  • 运行静态安全分析bandit、safety
  • 输入验证测试通过
  • 审查权限模型
  • 更新包含安全考虑因素的文档

定期维护

  • 每月依赖项安全更新
  • 代码库的季度安全审查
  • 年度第三方安全评估
  • 持续监控安全咨询

🤝 安全社区

漏洞奖励计划

目前,我们没有正式的漏洞奖励计划,但我们认可帮助改进 SuperClaude 安全性的安全研究人员:

  • 在发布说明和安全咨询中的公开致谢
  • 新功能和版本的早期访问
  • 与开发团队的直接沟通

安全咨询流程

  1. 对报告漏洞的内部评估
  2. 全面测试的修复开发
  3. 与安全研究人员的协调披露
  4. 修复发布后的公开咨询
  5. 事后分析以防止类似问题

📞 联系信息

安全团队

  • 电子邮件security@superclaude.dev
  • PGP 密钥:根据要求提供
  • 响应时间:最多 48 小时

一般安全问题

对于一般安全问题(不是漏洞):

  • 创建带有"security"标签的 GitHub 讨论
  • 检查此文件中的现有文档
  • 查看 贡献指南 了解开发安全实践

📚 额外资源

安全相关文档

外部安全资源

最后更新2025年7月 下次审查2025年10月

感谢您帮助保持 SuperClaude Framework 的安全性!🙏