早期用户特惠:首月仅需 $1!了解详情 →
Back to Security
负责任的披露

安全漏洞披露

我们感谢帮助保护 DiffRay 安全的安全研究人员。此政策概述了如何报告漏洞以及期望什么。

范围

diffray.ai 和 app.diffray.ai 域名
DiffRay GitHub App
API 端点

参与规则

在修复前不要公开披露漏洞
不要访问或修改其他用户的数据
不要执行拒绝服务攻击
不要使用产生过多流量的自动扫描工具
善意行事,避免隐私侵犯和服务中断

披露流程

1.

提交报告

将您的发现发送至 security@diffray.ai

2.

确认

我们将在 48 小时内确认收到

3.

初步评估

我们将在 5 个工作日内提供初步评估

4.

修复关键问题

关键漏洞在 30 天内解决

5.

公开披露

共同商定协调披露时间表

报告中应包含什么

  • 漏洞的详细描述
  • 逐步复现说明
  • 潜在影响评估
  • 建议的修复方案(可选)
  • 您的联系方式以便后续跟进

超出范围

  • 针对员工的社会工程攻击
  • 物理安全问题
  • 第三方服务(AWS、GitHub、Anthropic)
  • 没有证明影响的速率限制问题
  • 没有证明可利用性的缺失安全头
  • 过时浏览器或插件中的漏洞
  • 来自自动扫描工具但未验证影响的报告

认可

我们感谢帮助保护 DiffRay 安全的安全研究人员。经您许可,我们将在此页面上认可您的贡献。

安全荣誉榜

成为第一个帮助保护 DiffRay 的人!

报告漏洞

如果您发现了安全问题,请负责任地报告。

security@diffray.ai

PGP 密钥可应要求提供