安全政策

报告漏洞

如果您在本网站或其支持基础设施中发现安全漏洞，请负责任地进行报告。请勿为安全漏洞在 GitHub 上开放公开 issue。

首选方式： 发送电子邮件至 security@eucybersecurity.org， 说明漏洞描述、重现步骤和潜在影响。我们将在 48 小时内确认收到。

您也可以查看我们的 security.txt，获取机器可读的披露联系信息。

协调披露

我们遵循协调披露政策。我们要求您在公开披露之前给予我们合理的时间进行调查和修复——通常为 90 天，除非该漏洞正在被主动利用。

对于按照本政策报告漏洞的善意研究人员，我们不会采取法律行动。

范围

负责任披露的范围：

• eucybersecurity.org 网站及其子域名
• 公共 API 端点
• 身份验证和会话处理
• 注入漏洞（SQLi、XSS、SSRF 等）

范围之外：

• 拒绝服务攻击
• 对员工的社会工程
• 物理攻击

安全标头

本网站在所有响应中提供严格的安全标头，包括 Content-Security-Policy（基于 nonce）、HSTS（含预加载）、X-Frame-Options: DENY 和 Permissions-Policy。