跳轉到

安全政策 / Security Policy

繁體中文 | 简体中文 | English

這個 repo 是一份精選學習路線圖(主要是 Markdown 教材 + 少量範例程式碼),不是一個會部署的軟體產品。即便如此,有幾類安全問題仍然值得回報——尤其因為本教材教讀者實際執行 agent / MCP / tool-use

支援範圍

本專案採滾動式維護,沒有版本化 release。只有 main 分支的最新狀態會被修正。

哪些算安全問題

請回報以下情況:

  • 被劫持 / 惡意的第三方連結 —— catalog 裡某個 repo 連結指向了釣魚站、惡意套件,或專案已被惡意接管
  • 範例程式碼的供應鏈風險 —— examples/walkthroughs/scripts/ 裡的程式碼會引導不安全的相依套件、洩漏金鑰的寫法,或可被注入的指令
  • 教材中外洩的密鑰 —— 文件裡不小心貼出真實 API key / token / 憑證
  • 指令注入式的教學內容 —— 某段教學會誘導讀者在自己機器上跑出危險後果(例如未沙箱化地對 untrusted input 執行 agent)

不屬於本 repo 安全範疇的:第三方專案本身的漏洞——那些請直接回報給上游專案的維護者,並可同時開 issue 提醒我們把該 entry 標註或移除。

如何回報

請不要在公開 issue 裡貼出可被利用的細節。

  1. 首選:用 GitHub 的 私人漏洞回報(repo 的 Security 分頁 → Report a vulnerability)。只有維護者看得到。
  2. 若該功能不可用:請透過 GitHub 私訊 @WenyuChiou,說明問題影響與受影響的檔案 / 連結,我們會私下接續。請勿開公開 issue——即使不貼 exploit 細節,公開的標題與標籤也會對外暴露「有一個未修補的問題」。

回報時請盡量附上:受影響的檔案 / 連結、問題說明、可能的影響,以及(若有)修正建議。

處理時程

這是一個社群維護的教育專案,沒有 SLA,但我們會儘速處理。一般而言:

  • 確認收到:7 天內
  • 初步評估:14 天內
  • 修正或標註:視嚴重程度而定;惡意連結會優先處理

謝謝你幫忙讓這份教材對所有學習者都更安全。