测试版了解 · 政策
项目安全模型
理解项目安全边界,并通过私下报告渠道处理疑似漏洞。
查看安全报告方式预计用时6 分钟
适用范围与来源Mobazha v0.3 候选版本
信任边界
- 拥有订单的 backend 是其状态与受保护转换的权威。
- Client 是不受信任输入与 presentation layer;隐藏控件不能替代 server authorization。
- Payment rail、RPC、indexer、plugin、webhook、media 与 delivery system 是有独立 threat/failure model 的外部依赖。
- Extension 取得最小 typed projection 与 scoped handle,而非通用 database 或 Core access。
- 敏感操作要可审计,但日志不应包含 secret 或无关个人资料。
Release 与供应链
当前 release 是 pre-release candidate。最终 artifact 仍需 vulnerability scanning、dependency/license review、SBOM、checksum、provenance、reproducibility evidence、secret scan 与平台验证。
安全报告
使用受影响仓库的 GitHub private vulnerability reporting。不要在 issue、chat 或文档反馈中公开 exploit 细节、泄露凭据、签名密钥问题或客户数据。