安全

Flutter 團隊高度重視 Flutter 本身及基於其開發的應用程式的安全性。本頁面介紹瞭如何報告您發現的任何漏洞，並列出了最大限度降低引入漏洞風險的最佳實踐。

Flutter 安全策略基於五個核心支柱：

• 識別 (Identify)：透過確定核心資產、關鍵威脅和漏洞，跟蹤並優先處理關鍵安全風險。
• 檢測 (Detect)：利用漏洞掃描、靜態應用程式安全測試 (SAST) 和模糊測試等技術及工具，檢測並識別漏洞。
• 防護 (Protect)：透過緩解已知漏洞並保護關鍵資產免受源頭威脅，消除風險。
• 響應 (Respond)：制定報告、分類及響應漏洞或攻擊的流程。
• 恢復 (Recover)：建立遏制安全事件並從中恢復的能力，以最大限度減少影響。

在報告透過靜態分析工具發現的安全漏洞之前，請考慮檢視我們的已知誤報列表。

請將安全漏洞報告至 https://g.co/vulnz，並附上問題描述、重現步驟、受影響的版本，以及（如果已知）問題的緩解措施。我們使用 g.co/vulnz 進行漏洞接收，並在 GitHub 上進行協調和披露（包括使用 GitHub 安全公告）。Google 安全團隊會在您提交 g.co/vulnz 報告後的 5 個工作日內予以回覆。

您也可以透過我們的公共 Discord 聊天頻道聯絡團隊；但請務必將漏洞報告提交至 g.co/vulnz，並避免在公共場合洩露可能將使用者置於風險之中的漏洞資訊。

在解決您報告的安全漏洞的過程中，我們將與您密切協作。僅當您在上述 5 個工作日內未收到 g.co/vulnz 報告的回覆時，請聯絡 security@flutter.dev。

有關我們如何處理安全漏洞的更多詳細資訊，請參閱我們的安全政策。

如果您認為現有的 GitHub 問題與安全相關，請同時向 g.co/vulnz 報告該問題併發送電子郵件至 security@flutter.dev。郵件中應包含 GitHub 問題 ID 以及簡短的說明，解釋為何應根據此安全政策進行處理。

安全報告不會在 GitHub 問題資料庫中進行顯式追蹤。我們使用 GitHub 的安全公告功能來跟蹤公開的安全報告。

我們承諾為當前處於 stable（穩定）分支的 Flutter 版本釋出安全更新。

我們將安全報告視為 P0 優先順序。這意味著我們會在最短時間內嘗試修復。根據釋出計劃，對於在我們 SDK 的最新穩定版本中發現的任何重大安全報告，我們將視具體情況，釋出新的 Beta 版本或穩定的熱修復程式，以最快捷的方式處理。

任何針對 Flutter 網站（如 docs.flutter.dev）報告的漏洞無需釋出版本，將直接在網站本身進行修復。

歡迎使用或貢獻於 Flutter 的非 Google 團隊將 Flutter 納入其漏洞賞金計劃範圍。如需將您的計劃列出，請聯絡 security@flutter.dev。

Google 將 Flutter 視為谷歌開源軟體漏洞獎勵計劃的涵蓋範圍。

接收安全更新的最佳方式是訂閱 flutter-announce 郵件列表或關注 Discord 頻道的更新。我們也會在技術釋出博文中宣佈安全更新。

• 保持使用最新的 Flutter SDK 版本。 我們會定期更新 Flutter，這些更新可能會修復之前版本中發現的安全缺陷。

• 保持應用程式的依賴項更新。 請務必升級您的包依賴項以確保其為最新版本。避免將依賴項鎖定（pinning）到特定版本；如果確實需要鎖定，請務必定期檢查依賴項是否有安全更新，並相應地更新鎖定版本。

• 保持您的 Flutter 副本更新。 私有的、定製化的 Flutter 版本往往會落後於當前版本，並且可能不包含重要的安全修復和增強功能。請務必定期更新您的 Flutter 副本。如果您為了改進 Flutter 而進行了修改，請務必更新您的分支，並考慮與社群分享您的改動。