# 安全策略

感谢您帮助保护 Kun 及其用户的安全。

## 支持的版本

安全修复程序通常应用于默认分支上最新维护的代码以及最新发布的版本（如果可行）。旧版本可能无法收到补丁。

## 报告漏洞

请不要针对安全敏感的错误公开 GitHub 问题。

相反，请通过以下渠道之一私下报告漏洞：

- 邮箱：[zhongxingyuemail@gmail.com](mailto:zhongxingyuemail@gmail.com)
- GitHub 安全公告：如果启用，请使用存储库的私有漏洞报告流程

如果可能，请包括：

- 问题的清晰描述
- 受影响的版本、提交或发布标签
- 复制步骤或概念证明
- 影响评估
- 任何建议的缓解措施

## 响应期望

我们的目标是：

- 在 3 个工作日内确认新报告
- 确认问题是否在范围内
- 随着分诊的进展，让报告人随时了解处理进展
- 尽快负责任地发布修复或缓解措施

## 范围注释

请报告以下问题：

- 远程代码执行或权限提升
- 不安全的文件访问或沙箱绕过
- 凭证、令牌或秘密泄露
- 更新程序、打包或发布完整性缺陷
- 捆绑的本地服务或集成路径中的漏洞

在修复或缓解措施可用且维护人员有合理时间做出响应之前，请避免公开披露。