治理
- 版本
- 2.0
- 生效日期
- 上次审核
- 下次审核
- 负责人
- Joel R. Klemmer
第 1 条 范围与平台态势
本网站为信息权威网站。不处理支付。不托管用户账户。除有限运营需要外不维护持久用户数据库。风险面在设计上刻意受限。
安全承诺适用于本网站及其托管管道。我们不声称保护完全由第三方服务处理的数据超出我们的合同预期。传输至第三方服务的数据受其独立安全控制约束。
第 2 条 安全开发与部署
安全考虑已纳入开发设计、代码审查及部署工作流。
所有变更通过版本控制流转。持续集成在构建前执行格式检查、依赖审计、静态分析及验证门控。
在适用情况下,生产与开发环境逻辑分离。对部署系统的访问通过与运营需要一致的基于角色的访问控制限制。
安全相关事件可予记录并依运营要求审查。
第 3 条 基础设施控制
托管环境
本网站托管于提供 TLS 终止及加密传输的基础设施。基础设施弹性与备份程序由托管提供商管理。
传输安全
所有流量使用 HTTPS 加密。不使用混合内容。生产中启用 HSTS 并预加载。TLS 终止在边缘进行。
HTTP 安全头
本网站发送的安全头包括内容安全策略、X-Content-Type-Options nosniff、X-Frame-Options DENY、Referrer-Policy strict-origin-when-cross-origin,以及限制摄像头、麦克风、地理定位及相关功能的 Permissions-Policy。禁用 object 与 frame 嵌入。
第 4 条 应用控制
输入处理
联系表单输入经过验证。仅收集必要数据。根据部署配置强制执行速率限制。
依赖管理
包依赖通过项目依赖系统管理。持续集成扫描重大漏洞。发现的问题根据严重程度和可行性评估并处理。
内容完整性
本网站主要为静态。动态执行限于基本功能。脚本与样式源通过内容安全策略约束。
第 5 条 数据保护
数据收集最少。联系询问仅用于通信处理。无转售、无画像、无持久用户账户存储。
有关数据实践的更多信息,参见 隐私页面.
第 7 条 漏洞管理
依赖使用标准包管理工具监控。基础设施更新由托管提供商处理。
我们无法保证零日覆盖。发现安全问题后将评估并处理。
如发生涉及我们控制的个人数据的安全事件,我们将依适用法律义务行事。
第 8 条 负责任披露
安全关切可通过 联系页面。报告应包含问题清晰描述、复现步骤及受影响 URL 或组件。
初始报告中请勿包含主动漏洞利用代码。
我们力求在合理时间范围内确认收到报告。不提供回复时间保证。
第 9 条 安全港
我们不会对善意报告漏洞、在本政策所述范围内行事、避免访问或修改超出证明问题所需的数据、避免隐私损害或服务中断的研究人员提起法律诉讼。
该安全港仅适用于在本政策所述范围内开展的活动,不授权违反适用法律或第三方服务条款的行为。
禁止拒绝服务测试、对人员的社会工程或对第三方服务的测试。
第 10 条 限制
无系统可免于风险。本安全页不构成安全保证或合同担保。
本文件中的陈述反映现行实践,可能不经通知而变更。
用户有责任在其自有设备和网络上保持合理的安全实践。
第 11 条 治理与审议
安全态势定期审议。重大变更将反映在治理部分。
最后更新:2026-02-22