目錄

Dart 團隊非常重視 Dart 及其所建立應用程式的安全性。此頁面說明如何回報您發現的任何漏洞,並列出最佳實務,以將引進漏洞的風險降至最低。

安全性哲學

#

Dart 的安全性策略基於五大支柱

  • 識別:透過識別核心資產、主要威脅和漏洞,追蹤並優先處理主要的安全性風險。
  • 偵測:使用漏洞掃描、靜態應用程式安全性測試和模糊測試等技術和工具,偵測並識別漏洞。
  • 防護:透過減輕已知的漏洞並防護關鍵資產免於來源威脅,消除風險。
  • 回應:定義程序來回報、分類和回應漏洞或攻擊。
  • 復原:建構功能,以在影響降至最低的情況下,遏制和復原事件。

回報漏洞

#

若要回報安全性問題,請使用 https://g.co/vulnz。協調和揭露會在 dart-lang GitHub 存放區(包括 GitHub 安全性建議)中進行。請提供問題的詳細說明、您為建立問題所採取的步驟、受影響的版本,以及問題的任何緩解措施。Google 安全團隊會在您於 g.co/vulnz 回報後 5 個工作天內回應。

如需瞭解 Google 如何處理安全性問題的更多資訊,請參閱 Google 的安全性理念

#

如果您認為現有的問題與安全性相關,我們請您透過 https://g.co/vulnz 回報,並在回報中包含問題 ID。

支援的版本

#

我們承諾會針對目前最新 穩定版 Dart 版本發布安全性更新。

預期

#

我們將安全性問題視為 P0 優先順序等級,並針對在 Dart SDK 最新穩定版中發現的任何重大安全性問題發布測試版或修補程式修正。針對 Dart 網站(例如 dart.dev)回報的任何漏洞都不需要發布,並會在網站本身中修正。

Dart 沒有漏洞懸賞計畫。

接收安全性更新

#

依據問題和修正版本,會在 dart-announce 郵件清單中發布公告。

最佳實務

#
  • 隨時了解最新的 Dart SDK 版本。我們會定期更新 Dart,而這些更新可能會修正先前版本中發現的安全缺陷。查看 Dart 變更記錄 以了解與安全性相關的更新。

  • 讓應用程式的依賴項保持最新。請務必 升級您的套件依賴項 以讓依賴項保持最新。避免將依賴項固定到特定版本,如果您這樣做,請務必定期查看您的依賴項是否有安全性更新,並適當更新版本固定。