安全

Flutter 团队高度重视 Flutter 本身及基于其开发的应用程序的安全性。本页面介绍了如何报告您发现的任何漏洞，并列出了最大限度降低引入漏洞风险的最佳实践。

Flutter 安全策略基于五个核心支柱：

• 识别 (Identify)：通过确定核心资产、关键威胁和漏洞，跟踪并优先处理关键安全风险。
• 检测 (Detect)：利用漏洞扫描、静态应用程序安全测试 (SAST) 和模糊测试等技术及工具，检测并识别漏洞。
• 防护 (Protect)：通过缓解已知漏洞并保护关键资产免受源头威胁，消除风险。
• 响应 (Respond)：制定报告、分类及响应漏洞或攻击的流程。
• 恢复 (Recover)：建立遏制安全事件并从中恢复的能力，以最大限度减少影响。

在报告通过静态分析工具发现的安全漏洞之前，请考虑查看我们的已知误报列表。

请将安全漏洞报告至 https://g.co/vulnz，并附上问题描述、重现步骤、受影响的版本，以及（如果已知）问题的缓解措施。我们使用 g.co/vulnz 进行漏洞接收，并在 GitHub 上进行协调和披露（包括使用 GitHub 安全公告）。Google 安全团队会在您提交 g.co/vulnz 报告后的 5 个工作日内予以回复。

您也可以通过我们的公共 Discord 聊天频道联系团队；但请务必将漏洞报告提交至 g.co/vulnz，并避免在公共场合泄露可能将用户置于风险之中的漏洞信息。

在解决您报告的安全漏洞的过程中，我们将与您密切协作。仅当您在上述 5 个工作日内未收到 g.co/vulnz 报告的回复时，请联系 security@flutter.dev。

有关我们如何处理安全漏洞的更多详细信息，请参阅我们的安全政策。

如果您认为现有的 GitHub 问题与安全相关，请同时向 g.co/vulnz 报告该问题并发送电子邮件至 security@flutter.dev。邮件中应包含 GitHub 问题 ID 以及简短的说明，解释为何应根据此安全政策进行处理。

安全报告不会在 GitHub 问题数据库中进行显式追踪。我们使用 GitHub 的安全公告功能来跟踪公开的安全报告。

我们承诺为当前处于 stable（稳定）分支的 Flutter 版本发布安全更新。

我们将安全报告视为 P0 优先级。这意味着我们会在最短时间内尝试修复。根据发布计划，对于在我们 SDK 的最新稳定版本中发现的任何重大安全报告，我们将视具体情况，发布新的 Beta 版本或稳定的热修复程序，以最快捷的方式处理。

任何针对 Flutter 网站（如 docs.flutter.dev）报告的漏洞无需发布版本，将直接在网站本身进行修复。

欢迎使用或贡献于 Flutter 的非 Google 团队将 Flutter 纳入其漏洞赏金计划范围。如需将您的计划列出，请联系 security@flutter.dev。

Google 将 Flutter 视为谷歌开源软件漏洞奖励计划的涵盖范围。

接收安全更新的最佳方式是订阅 flutter-announce 邮件列表或关注 Discord 频道的更新。我们也会在技术发布博文中宣布安全更新。

• 保持使用最新的 Flutter SDK 版本。 我们会定期更新 Flutter，这些更新可能会修复之前版本中发现的安全缺陷。

• 保持应用程序的依赖项更新。 请务必升级您的包依赖项以确保其为最新版本。避免将依赖项锁定（pinning）到特定版本；如果确实需要锁定，请务必定期检查依赖项是否有安全更新，并相应地更新锁定版本。

• 保持您的 Flutter 副本更新。 私有的、定制化的 Flutter 版本往往会落后于当前版本，并且可能不包含重要的安全修复和增强功能。请务必定期更新您的 Flutter 副本。如果您为了改进 Flutter 而进行了修改，请务必更新您的分支，并考虑与社区分享您的改动。