# Golang 后端服务 模板程序 - 安全策略

我们非常重视本项目的安全性。如果您发现了任何潜在的安全漏洞，请按照以下步骤报告。

## 如何报告漏洞

### 严重漏洞问题

所谓严重漏洞问题，即不建议采用公开方式进行披露的问题。若将问题直接公开披露，可能会导致本开发团队在修复问题前，被恶意用户收集并利用，从而造成其他损失。

例如：通过某一手段可以实现SQL注入攻击的、通过某一手段可改变程序运行的完整性的、通过某一手段可实现内存攻击的。

一般问题，例如：拼写错误。

### 公开问题披露

可使用Issues：[Github Issues](https://github.com/SongZihuan/BackendServerTemplate/issues)

**注意：请保护好个人隐私。**

**注意：严重漏洞问题请采用非公开问题披露方式，若您无法确定问题的严重程度可一律采取非龚刚开问题披露方式。**

### 非公开问题披露

作者：宋子桓（Song Zihuan），或称 Cr.Huan 。
作者邮箱（接收问题披露）：[contact@song-zh.com](mailto://contact@song-zh.com)。
作者网上留言（接收问题披露）：[song-zh.com/message](https://song-zh.com/message)，请务必告知您的回访联系方式。

我们预估会在 **48-72 小时内** 给予您回复，并开始调查问题。

**注意：若确定为严重漏洞问题的，并满足以下条件的披露者可获得20元以上的奖励（上不封顶）。**

1. 问题未被开发团队收集，并着手准备处理。
2. 问题未造成实际上的严重影响。
3. 仅使用上述非公开问题披露方式向我们披露问题，未在其他渠道披露问题的。
4. 问题最终能够被解决的。
5. 项目当前仍在活跃更新的。
6. 问题通过本次披露后被受理的。
7. 无其他争议的。

## 支持的版本

我们采用语义化版本号进行版本标识。

我们只受理以下版本的问题：

1. 最新版本（主版本号、次版本号、补丁版本号均为最新）。
2. 最新版本的主版本号小1的旧主版本系列对应的最新版本，但非长期支持。

例如：最新版本号为v2.0.0，那最新版本的主版本号小1的旧主版本号则为0，那么可能会对1.x.x系列最新版本继续一段时间的支持。

每次安全漏洞修复会递增补丁版本号，生成新的版本，随后旧版本将不再被支持。

## 安全更新流程

一旦确认漏洞，我们将采取以下步骤：

1. 验证漏洞的严重性和影响范围。
2. 开发修复补丁。
3. 在必要时通知关键用户和合作伙伴。
4. 发布修复版本，并公开披露漏洞详情（在适当的情况下）。