安全

Flutter 团队非常重视 Flutter 本身以及使用 Flutter 创建的应用程序的安全性。本页介绍如何报告您可能发现的任何漏洞，并列出最大程度减少引入漏洞风险的最佳实践。

Flutter 安全策略基于五个关键支柱：

• **识别：**通过识别核心资产、主要威胁和漏洞来跟踪和优先处理关键安全风险。
• **检测：**使用漏洞扫描、静态应用程序安全测试和模糊测试等技术和工具来检测和识别漏洞。
• **保护：**通过减轻已知漏洞并保护关键资产免受源威胁来消除风险。
• **响应：**定义报告、分类和响应漏洞或攻击的流程。
• **恢复：**构建包含和从事件中恢复的功能，以最大限度地减少影响。

在报告静态分析工具发现的安全漏洞之前，请考虑检查我们的已知误报列表。

要报告漏洞，请发送电子邮件至 [email protected]，内容包括问题的描述、您为创建问题所采取的步骤、受影响的版本以及（如果已知）该问题的缓解措施。

我们应在三个工作日内回复。

我们使用 GitHub 的安全建议功能来跟踪未解决的安全问题。在我们努力解决您报告的问题时，您应该期待密切合作。

如果您没有收到及时的关注和定期更新，请再次联系 [email protected]。您也可以使用我们的公共Discord 聊天频道 联系团队；但是，在报告问题时，请发送电子邮件至 [email protected]。为了避免在公共场合泄露可能危及用户安全的漏洞信息，请不要发布到 Discord 或提交 GitHub 问题。

有关我们如何处理安全漏洞的更多详细信息，请参阅我们的安全策略。

如果您认为现有问题与安全相关，我们要求您发送电子邮件至 [email protected]。电子邮件应包含问题 ID 和简短描述，说明为什么应根据本安全策略处理该问题。

我们承诺为当前在 stable 分支上的 Flutter 版本发布安全更新。

我们将安全问题视为 P0 优先级级别，并为在我们 SDK 的最新稳定版本中发现的任何重大安全问题发布 beta 版或修补程序。

对于 docs.flutter.dev 等 Flutter 网站报告的任何漏洞，不需要发布版本，将在网站本身进行修复。

贡献团队可以在其漏洞赏金计划的范围内包含 Flutter。要列出您的计划，请联系 [email protected]。

Google 认为 Flutter 属于Google 开源软件漏洞奖励计划的范围。为方便起见，报告者应在使用 Google 的漏洞报告流程之前联系 [email protected]。

接收安全更新的最佳方法是订阅flutter-announce 邮件列表或关注Discord 频道 的更新。我们还在技术发行博客文章中宣布安全更新。

• **使用最新的 Flutter SDK 版本。**我们定期更新 Flutter，这些更新可能会修复在先前版本中发现的安全缺陷。

• **使您的应用程序的依赖项保持最新。**确保您升级您的包依赖项 以保持依赖项的最新状态。避免为您的依赖项固定到特定版本，如果您确实如此，请确保定期检查您的依赖项是否进行了安全更新，并相应地更新固定版本。

• **使您的 Flutter 副本保持最新。**私有的、定制的 Flutter 版本往往落后于当前版本，可能不包含重要的安全修复和增强功能。相反，定期更新您的 Flutter 副本。如果您正在进行更改以改进 Flutter，请务必更新您的 fork 并考虑与社区分享您的更改。

除非另有说明，否则本网站上的文档反映的是 Flutter 的最新稳定版本。页面最后更新于 2025-01-30。 查看源代码 或 报告问题。