安全

Flutter 團隊認真對待 Flutter 及其應用程式的安全性。本文件介紹瞭如何報告您可能發現的安全漏洞，並列出了可最大限度地降低引入漏洞風險的最佳實踐。

Flutter 的安全策略基於五個關鍵支柱：

• 識別：透過識別核心資產、主要威脅和漏洞來跟蹤和優先處理關鍵安全風險。
• 檢測：使用漏洞掃描、靜態應用程式安全測試和模糊測試等技術和工具來檢測和識別漏洞。
• 保護：透過緩解已知漏洞和保護關鍵資產免受源威脅來消除風險。
• 響應：定義報告、分類和響應漏洞或攻擊的流程。
• 恢復：建立在發生事件時將影響降至最低的遏制和恢復能力。

在報告由靜態分析工具發現的安全漏洞之前，請考慮檢視我們的已知誤報列表。

請將安全漏洞報告至https://g.co/vulnz，並在其中包含問題的描述、重現問題的步驟、受影響的版本以及已知的緩解措施。我們使用 g.co/vulnz 進行接收，並在 GitHub 上進行協調和披露（包括使用 GitHub 安全公告）。Google 安全團隊將在您報告後的 5 個工作日內透過 g.co/vulnz 進行回覆。

您也可以透過我們的公共 Discord 聊天頻道聯絡團隊；但請務必同時將漏洞報告提交至 g.co/vulnz，並避免公開披露可能使使用者面臨風險的漏洞資訊。

當您報告的安全漏洞得到解決時，我們期望與您進行密切合作。如果您在上述提到的 5 個工作日內未收到 g.co/vulnz 報告的回覆，請聯絡 security@flutter.dev。

有關我們如何處理安全漏洞的更多詳細資訊，請參閱我們的安全策略。

如果您認為某個現有的 GitHub 問題與安全相關，我們要求您同時將該問題報告至 g.co/vulnz 併發送電子郵件至 security@flutter.dev。電子郵件應包含 GitHub 問題 ID 以及有關為何應根據此安全策略處理該問題的簡短說明。

安全報告不會在 GitHub 問題資料庫中明確跟蹤。我們使用 GitHub 的安全公告功能來跟蹤公開的安全報告。

我們承諾為當前 `stable` 分支上的 Flutter 版本釋出安全更新。

我們將安全報告視為 P0 優先順序。這意味著我們將盡快修復它們。根據我們的釋出計劃，對於在最新穩定版本 SDK 中發現的任何重大安全報告，我們將釋出一個新的 beta 版本或一個穩定的熱修復補丁，以最快捷的方式解決。

對於 flutter 網站（如 docs.flutter.dev）報告的任何漏洞，無需釋出新版本，將在網站本身上修復。

歡迎使用或貢獻 Flutter 的非 Google 團隊將 Flutter 納入其 Bug Bounty 專案的範圍。如需將您的專案列出，請聯絡 security@flutter.dev。

Google 將 Flutter 納入Google 開源軟體漏洞獎勵計劃的範圍。

接收安全更新的最佳方式是訂閱 flutter-announce 郵件列表或關注 Discord 頻道的更新。我們也會在技術釋出博文中公佈安全更新。

• 及時更新到最新的 Flutter SDK 版本。 我們會定期更新 Flutter，這些更新可能包含之前版本中發現的安全缺陷。

• 保持您的應用程式依賴項為最新。 確保您升級您的軟體包依賴項以保持依賴項的最新。避免固定依賴項的特定版本，如果您這樣做，請定期檢查您的依賴項是否有安全更新，並相應地更新固定版本。

• 保持您的 Flutter 副本為最新。 私人、自定義版本的 Flutter 往往會落後於當前版本，可能不包含重要的安全修復和增強功能。因此，請定期更新您的 Flutter 副本。如果您正在進行改進 Flutter 的更改，請務必更新您的 fork，並考慮與社群分享您的更改。