安全性

Dart 團隊非常重視 Dart 及其應用程式的安全性。本頁說明如何回報您發現的任何漏洞，並列出將引入漏洞風險降至最低的最佳實務。

Dart 的安全性策略基於五大支柱

• 識別：透過識別核心資產、主要威脅和漏洞，追蹤並優先處理關鍵安全性風險。
• 偵測：使用漏洞掃描、靜態應用程式安全性測試和模糊測試等技術和工具，偵測和識別漏洞。
• 保護：透過緩解已知漏洞來消除風險，並保護關鍵資產免受來源威脅。
• 回應：定義回報、分類和回應漏洞或攻擊的流程。
• 復原：建立從事件中包含和復原的能力，將影響降至最低。

若要回報安全性問題，請使用 https://g.co/vulnz。協調和揭露會在 dart-lang GitHub 儲存庫 (包括 GitHub 安全性公告) 中進行。請包含問題的詳細描述、您建立問題所採取的步驟、受影響的版本，以及問題的任何緩解措施。Google 安全性團隊會在您於 g.co/vulnz 上回報後的 5 個工作天內回覆。

如需更多關於 Google 如何處理安全性問題的資訊，請參閱Google 的安全性哲學。

如果您認為現有的問題與安全性相關，我們要求您透過 https://g.co/vulnz 回報，並在您的報告中包含問題 ID。

我們承諾為目前最新穩定 Dart 版本發布安全性更新。

我們將安全性問題視為 P0 優先級別，並針對最新穩定版本的 Dart SDK 中發現的任何重大安全性問題發布 Beta 版或修補程式修正。針對 dart.dev 等 Dart 網站回報的任何漏洞不需要發布版本，將在網站本身中修正。

Dart 沒有漏洞賞金計畫。

根據問題和修正版本發布，將會在 dart-announce 郵寄清單中發布公告。

• 保持 Dart SDK 最新版本。 我們會定期更新 Dart，這些更新可能會修正先前版本中發現的安全性缺陷。請查看 Dart 變更日誌 以取得安全性相關的更新。

• 保持應用程式的相依性為最新狀態。 請確保您升級您的套件相依性以保持相依性為最新狀態。避免將相依性釘選到特定版本，如果您這樣做，請確保定期檢查您的相依性是否有安全性更新，並相應地更新版本釘選。

除非另有說明，否則本網站上的文件反映 Dart 3.7.1 版本。頁面最後更新於 2024-11-18。 檢視原始碼 或 回報問題。