| Version | Supported |
|---|---|
| 1.x | ✅ Yes |
请不要通过 GitHub Issue 公开报告安全漏洞。 Please do NOT report security vulnerabilities through public GitHub Issues.
如果你发现了安全漏洞,请通过以下方式联系我们:
If you discover a security vulnerability, please contact us via:
- GitHub Security Advisories — 通过仓库的 Security Advisories 页面提交(推荐)
- Email — 发送邮件至项目维护者(见仓库 Profile)
- 漏洞的描述和影响范围 / Description of the vulnerability and its impact
- 复现步骤 / Steps to reproduce
- 受影响的版本 / Affected versions
- 如有修复建议也请一并提供 / Suggested fix if any
- 我们会在 48 小时内 确认收到你的报告
- 我们会在 7 天内 给出初步评估和处理计划
- 修复后会在 Security Advisory 中致谢(如你同意)
以下属于本项目安全范围:
- 本地数据存储安全(SQLite 数据库)
- 应用锁机制(PIN / 生物识别)
- 加密实现(expo-crypto)
- 安全存储(expo-secure-store)
- 数据导入/导出的安全处理
以下不属于安全范围:
- 上游依赖(Expo、React Native)的漏洞 — 请直接向对应项目报告
- 需要物理访问已解锁设备的攻击
感谢你帮助维护 WorthBase 的安全!🔒