安全政策

回報漏洞

如果您在本網站或其支援基礎設施中發現安全漏洞，請負責任地進行回報。請勿為安全漏洞在 GitHub 上開放公開 issue。

首選方式： 發送電子郵件至 security@eucybersecurity.org， 說明漏洞描述、重現步驟和潛在影響。我們將在 48 小時內確認收到。

您也可以查看我們的 security.txt，取得機器可讀的揭露聯絡資訊。

協調揭露

我們遵循協調揭露政策。我們要求您在公開揭露之前給予我們合理的時間進行調查和修復——通常為 90 天，除非該漏洞正在被積極利用。

對於按照本政策回報漏洞的善意研究人員，我們不會採取法律行動。

範圍

負責任揭露的範圍：

• eucybersecurity.org 網站及其子網域
• 公共 API 端點
• 身份驗證和工作階段處理
• 注入漏洞（SQLi、XSS、SSRF 等）

範圍之外：

• 拒絕服務攻擊
• 對員工的社會工程
• 實體攻擊

安全標頭

本網站在所有回應中提供嚴格的安全標頭，包括 Content-Security-Policy（基於 nonce）、HSTS（含預載入）、X-Frame-Options: DENY 和 Permissions-Policy。