| Version | Supported |
|---|---|
| 1.1.x | ✅ |
| < 1.0 | ❌ |
如果你发现了安全漏洞,请不要在公开 Issue 中提交。
请通过以下方式私下报告:
- 发送邮件至 can4hou6joeng4@163.com
- 或使用 GitHub Security Advisories 创建私密报告
请在报告中包含:
- 漏洞的详细描述
- 复现步骤
- 影响范围评估
- 如果可能,提供修复建议
我们会在 48 小时内确认收到报告,并在 7 天内给出初步评估。
本项目涉及以下敏感操作,开发时请特别注意:
- Cookie/Token 存储:使用 Fernet 对称加密 + PBKDF2 机器绑定密钥
- 浏览器自动化:所有浏览器操作限定在
zhipin.com域名 - 本地数据:缓存数据存储在
~/.boss-agent/,不上传任何数据到第三方服务 - CSV/HTML 导出:已实施公式注入防护和 XSS 防护