- 🔒 包含商业机密、专有算法或核心业务逻辑的代码
- 🛡️ 涉及国家秘密、国防安全或其他保密信息的代码
- 🔑 包含敏感数据(如用户数据、密钥、密码、token 等)的代码
- ⚖️ 受法律法规限制不得外传的代码
- 📋 客户或第三方的专有代码(未经授权)
-
评估代码敏感性
- 用户必须自行评估代码的敏感性
- 对上传代码及其可能导致的信息泄露承担全部责任
-
使用本地模型处理敏感代码
- 对于敏感代码,请使用 Ollama 本地模型部署功能
- 或使用私有部署的 LLM 服务
- 本地模型不会将代码发送到任何外部服务器
-
代码脱敏
- 上传前移除敏感信息(API Key、密码、Token 等)
- 使用占位符替换真实数据
- 移除包含个人身份信息(PII)的代码
-
遵守合规要求
- 遵守所在国家/地区关于数据保护和隐私的法律法规
- 遵守公司或组织的保密协议和安全政策
- 确保拥有代码的使用和分析权限
| 版本 | 支持状态 |
|---|---|
| 2.x.x | ✅ 支持 |
| 1.x.x | ❌ 不再支持 |
如果您发现安全漏洞,请通过以下方式负责任地披露:
-
邮箱报告(推荐)
- 发送邮件至: lintsinghua@qq.com
- 邮件标题请注明:
[Security] DeepAudit 安全漏洞报告
-
GitHub Issues
- 地址: GitHub Issues
⚠️ 请勿公开披露敏感漏洞详情- 仅描述漏洞类型,详细信息请通过邮件发送
请在报告中包含以下信息:
- 漏洞类型和严重程度评估
- 受影响的版本和组件
- 复现步骤
- 潜在影响
- 建议的修复方案(如有)
- 我们会在 48 小时内 确认收到报告
- 在 7 天内 提供初步评估
- 根据漏洞严重程度,在 30-90 天内 发布修复
我们感谢所有负责任地报告安全问题的研究人员。在漏洞修复后,我们会在发布说明中致谢(除非您希望保持匿名)。
-
修改默认密钥
# 生产环境必须修改! SECRET_KEY=your-random-secret-key-at-least-32-characters
-
配置 HTTPS
- 生产环境务必启用 HTTPS
- 使用 Let's Encrypt 或其他 SSL 证书
-
限制 CORS
- 生产环境配置具体的前端域名
- 不要使用
allow_origins=["*"]
-
数据库安全
- 修改默认数据库密码
- 限制数据库访问 IP
- 定期备份数据
-
API 限流
- 配置 Nginx 或应用层限流
- 防止 API 滥用
-
定期更新依赖
# 后端 cd backend && pip install --upgrade -r requirements.txt # 前端 cd frontend && pnpm update
-
监控日志
- 配置日志收集
- 设置异常告警
-
最小权限原则
- 使用最小必要的权限运行服务
- 不要以 root 用户运行容器
本项目集成以下第三方服务,使用时请遵守其各自的服务条款和隐私政策:
| 服务 | 用途 | 隐私政策 |
|---|---|---|
| OpenAI | LLM API | Privacy Policy |
| Google Gemini | LLM API | Privacy Policy |
| Anthropic Claude | LLM API | Privacy Policy |
| 阿里云通义千问 | LLM API | 隐私政策 |
| DeepSeek | LLM API | Privacy Policy |
| Supabase | 数据库 | Privacy Policy |
| GitHub | 仓库集成 | Privacy Policy |
项目作者、贡献者和维护者对因用户上传敏感代码导致的任何信息泄露、知识产权侵权、法律纠纷或其他损失不承担任何责任。
详细免责声明请参阅 DISCLAIMER.md。