# Security Policy(安全披露政策) > **适用范围**:本仓库 `HDGP-Protocol`(主系统参考实现与规范)。对外开源基线仓库 **`HDGP-Core`** 在发布时应**单独**维护 `SECURITY.md`;可自本文件节选披露渠道与 SLA 口径,并与组织主页信息一致。 --- ## 支持的版本(Supported versions) | 范围 | 说明 | |------|------| | **当前开发主线** | 默认分支 **`main`** 上的最新提交;安全修复**优先**合入 `main`。 | | **版本标签** | 以 **Git tag**(如 `v0.2.0`)发布的 Engine/工具链版本,在 **`docs/HDGP_RELEASE_VERSIONING.md`** 中说明其支持状态;未列出的旧标签视为**尽力维护**或**已结束支持**,除非另有公告。 | | **策略规范版本** | 运行时策略与 `spec/` 版本对齐(如 `HDGP-1.0`);与引擎版本的关系见 **`docs/HDGP_RELEASE_VERSIONING.md`**。 | **不承诺**:预览分支、已删除 tag、本地 fork 未同步上游的提交;请使用 **官方 `main` 或已发布 tag** 进行安全相关评估。 --- ## 如何报告漏洞(Reporting a vulnerability) 请**不要**在公开 Issue / 讨论区张贴可利用细节(PoC、完整攻击链、未修复 0-day)。推荐顺序如下。 ### 1. GitHub 私有安全报告(首选) 若本仓库已启用 **Private vulnerability reporting**(仓库 **Settings → Security → Code security**): - 通过 GitHub 提供的 **Security Advisories** 流程提交私密报告,便于维护者协作与 CVE 协调(若适用)。 说明:若组织未公开邮箱,此方式通常为**唯一**受控渠道。 ### 2. 邮件(若组织已公布) - 若组织或本仓库 README 中公布了 **安全联系邮箱**,可将报告发送至该邮箱;**主题**建议包含 `[HDGP Security]` 与组件名(如 `hdgp-engine`)。 - **PGP**:若维护者公布 **PGP 公钥指纹**与密钥获取方式(如 Keybase、keys.openpgp.org),可对敏感细节加密发送;**未公布时请勿猜测**邮箱或密钥。 ### 3. 表单 / 其他渠道 - 若组织提供 **安全工单表单**(如企业门户),可优先使用该渠道;请在正文中注明对应 **Git 提交 SHA** 与 **受影响组件**(Engine / conftest / 脚本等)。 ### 报告中请尽量包含 - 受影响版本或 **commit SHA**、运行环境(OS、Go 版本、是否启用 `HDGP_*` 关键环境变量); - 影响类型(机密性 / 完整性 / 可用性 / 供应链)与**是否影响伦理判定或审计证据链**; - 复现步骤的**最小化**描述(可私下提供,不要求公开 Issue 中完整 PoC)。 --- ## 响应 SLA(目标值,非合同承诺) 维护者将按**严重程度**尽力在以下时间内响应(**工作日**指维护者所在时区的工作日,项目早期可能延长): | 级别 | 说明 | 首次确认(ack) | 后续节奏 | |------|------|-----------------|----------| | **Critical** | 远程代码执行、未认证下绕过认证、审计/完整性链可被**静默**篡改等 | **≤ 5 个工作日** | 修复计划与临时缓解措施在确认后尽快同步 | | **High** | 权限提升、敏感数据大规模泄露、可稳定触发拒绝服务等 | **≤ 10 个工作日** | 同上 | | **Medium / Low** | 信息泄露、配置缺陷、需本地或高权限前提的问题 | **≤ 20 个工作日** | 按排期纳入修复或文档说明 | **说明**:SLA 为**目标**;若报告不完整、无法复现或依赖未公开环境,时间从信息补齐后起算。 **公开披露**:一般在修复可用后(或协商一致的**协调披露**时间)通过 **GitHub Security Advisory**、**Release notes** 与必要时的 **`docs/` 公告** 进行。 --- ## 安全更新与发布 - **修复落地**:合并至 `main` 后,按 **`docs/HDGP_RELEASE_VERSIONING.md`** 打 tag 或发布说明;**供应链与依赖**相关修复见 `scripts/check-deps.ps1` / 发布门禁中的依赖审计。 - **CI**:上游 PR 与 fork PR 的门禁差异见 **`docs/HDGP_CI_FORK_PR_POLICY.md`**。 --- ## 范围外(Out of scope) 一般**不作为**安全漏洞受理(除非可证明直接影响本仓库组件的机密性/完整性/可用性): - 纯社会工程、对部署方物理环境的假设; - **第三方模型 / 外部 API** 的内容安全(除非 HDGP 边界内存在明确绕过); - 仅影响**已公开文档示例**、且不构成默认配置的问题。 --- ## 相关文档 - `docs/HDGP_RELEASE_VERSIONING.md` — 版本与 tag 策略 - `docs/HDGP_CI_FORK_PR_POLICY.md` — fork PR 与 CI 门禁 - `docs/HDGP_ENGINE_SECURITY_HARDENING_RUNBOOK.md` — 引擎加固与运行态 - `docs/HDGP_G3_PIPELINE_INTEGRATION.md` — 发布门禁与 GitHub Actions --- ## 中文摘要 - **报告方式**:优先 GitHub **私密安全报告**;有公布邮箱时可用邮件(可选 PGP);勿在公开区贴利用细节。 - **支持版本**:以 **`main`** 与 **`docs/HDGP_RELEASE_VERSIONING.md`** 所列 tag 为准。 - **SLA**:Critical 约 **5 个工作日内**首次回复,High **10 日**,中低 **20 日**(均为目标值)。 - **修复与公告**:修复后通过 **Release / Advisory / 文档** 协调披露。