Table of Contents
项目地址: https://gitcode.com/gh_mirrors/st/standard-readme Security
Authentication
This library requires API keys with minimum scope permissions. Never expose keys in client-side code.
Known Vulnerabilities
- Fixed in v2.1.0: SQL injection in user search endpoint (CVE-2024-XXXX)
2. **详细展开型**:常规安全信息可置于"Extra Sections"中,采用三级标题细化分类
```markdown
## Usage
...
## Security Considerations
### Data Encryption
All sensitive data is encrypted using AES-256-GCM. See [crypto.js](src/crypto.js) for implementation.
### Secure Configuration
```javascript
// ✅ Recommended configuration
const config = {
encryption: true,
auditLogging: true,
// 敏感值使用环境变量
apiKey: process.env.API_KEY
};
### 安全章节的合规要点
1. **必须包含的要素**:
- 安全相关的依赖要求(如OpenSSL版本限制)
- 明确的安全边界说明(如"本库不提供端到端加密")
- 安全报告渠道(PGP加密的邮箱地址)
2. **禁止出现的内容**:
- 硬编码的凭证信息(即使是示例用途)
- 模糊的安全声明(如"完全安全"、"永不泄露")
- 未经验证的安全性能数据(如"99.9%防攻击")
## 代码示例的安全处理技术
### 危险模式与安全替代方案
#### 反例:包含敏感信息的代码示例
```javascript
// ❌ 不安全的示例 - 包含真实API密钥
const client = new APIClient({
apiKey: "sk_live_51Hb26K2wF3728jlkdf9372645jlkdf", // 实际密钥
endpoint: "https://api.example.com"
});
正例:安全的代码示例实现
// ✅ 安全的示例 - 使用环境变量占位符
const client = new APIClient({
apiKey: process.env.API_KEY, // 从环境变量获取
endpoint: "https://api.example.com"
});
/*
使用说明:
1. 注册账户获取API密钥
2. 安全存储密钥:
export API_KEY="your_actual_key_here"
3. 权限限制: 建议创建仅含"read" scope的密钥
*/
代码示例安全检查清单
-
凭证安全
- 检查所有代码块中的密钥、令牌、密码
- 确保连接字符串使用占位符(如
{DB_USER}) - 避免在注释中包含敏感信息
-
依赖安全
- 验证示例中依赖版本是否有已知漏洞
- 使用固定版本号而非范围版本(如
2.3.4而非^2.3.0) - 注明依赖的安全更新策略
-
配置安全
- 默认启用安全相关配置(如HTTPS、验证)
- 明确标记不安全的配置选项(如
insecure: true) - 提供安全配置的完整示例文件
漏洞响应流程的文档化
标准化漏洞报告模板
## Security Policy
### Supported Versions
| Version | Supported |
|---------|-----------|
| 3.1.x | ✅ |
| 3.0.x | ⚠️ 仅关键修复 |
| < 3.0 | ❌ |
### Reporting a Vulnerability
To report a security vulnerability, please email security@example.com
with the following information:
- Vulnerability type (XSS, SQLi, etc.)
- Affected component(s)
- Step-by-step reproduction instructions
- Impact assessment
- Proof-of-concept (if possible)
We will acknowledge receipt within 48 hours and provide a status update
every 7 days until resolution.
漏洞响应时间线规范
自动化安全文档检查方案
预提交钩子配置示例
#!/bin/sh
# .git/hooks/pre-commit
# 检查README中是否包含敏感模式
if grep -E '(API_KEY|SECRET|PASSWORD)[=:][[:space:]]*["'\''][A-Za-z0-9]+["'\'']' README.md; then
echo "ERROR: Potential sensitive information found in README.md"
exit 1
fi
# 检查代码示例中的不安全模式
if grep -E 'process\.env\.[A-Z_]+[=:]' README.md; then
echo "ERROR: Environment variables should not be assigned in examples"
exit 1
fi
exit 0
文档安全检查工具链
| 工具名称 | 功能说明 | 集成方式 | 检测能力 |
|---|---|---|---|
| git-secrets | 关键词模式匹配 | Git钩子 | 基础敏感信息检测 |
| readme-lint | 标准规范验证 | CI/CD管道 | standard-readme合规性 |
| semgrep | 代码模式分析 | 预提交钩子 | 复杂代码示例安全检查 |
| trivy | 依赖漏洞扫描 | 定期任务 | 文档引用依赖的安全状态 |
多语言文档的安全一致性维护
安全术语对照表(中英示例)
| 英文术语 | 中文翻译 | 使用场景 |
|---|---|---|
| Vulnerability | 漏洞 | 已确认的安全缺陷 |
| Exposure | 暴露 | 敏感信息可被访问的状态 |
| Mitigation | 缓解措施 | 降低漏洞影响的临时方案 |
| Exploit | 利用 | 针对漏洞的攻击代码 |
| CVE | 通用漏洞披露 | 标准化漏洞标识符 |
多语言文档同步流程
安全文档的版本控制策略
文档安全更新的语义化版本规则
- 主版本号变更:安全章节结构重大调整
- 次版本号变更:新增安全最佳实践指南
- 补丁版本号变更:修复文档中的安全示例错误
安全文档变更日志示例
## Security Documentation Changelog
### 2.1.0 (2024-05-15)
- Added "Secure Configuration" subsection with TLS 1.3 requirements
- Updated vulnerability reporting template to include PGP key fingerprint
- Fixed example encryption key format in 3 language versions
### 2.0.1 (2024-03-22)
- Corrected CVE reference format in Security section
- Removed deprecated security contact email创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
